Любая организация, государственная или коммерческая, в работе использует информацию ограниченного доступа — государственную или коммерческую тайну, персональные данные сотрудников и клиентов. Эти сведения имеют коммерческую ценность, и нередки ситуации, когда их хищение происходит через каналы утечки информации в информационных системах, возникающие из-за уязвимостей оборудования или программного обеспечения или создаваемые искусственно. Необходимо понимать сущность и причины возникновения таких каналов для успешной блокировки.

Понятие канала утечки информации

Информационная безопасность под каналом передачи информации понимает совокупность элементов и процессов, обеспечивающих переход данных от одного субъекта к другому, их хранение или обработку. Канал — система, включающая элементы:

• пользователь и администратор;
• основное оборудование;
• технические средства обработки информации;
• рабочие места сотрудников;
• устройства вывода информации (принтеры);
• соединительные линии;
• распределительные и коммутационные устройства;
• системы электропитания, системы заземления.

Также в построении каналов принимают участие системы ИТ-телефонии, средства организации телеконференций, подключенные к общей информационной сети мобильные устройства и ноутбуки сотрудников. С точки зрения использования технических средств интерес для злоумышленников представляют выходящие за пределы охраняемого периметра кабели, металлические трубы систем водоснабжения, металлические элементы строительных конструкций, допускающие возможность снятия информации путем преобразования в данные проходящего по коммуникациям электромагнитного излучения.

Нарушение целостности канала и перенастройка одного из элементов таким образом, чтобы поток сменил направление и поступил в распоряжение третьих лиц, признается утечкой. Человек, сотрудник компании, также является одним из элементов канала, и на практике в 80 % случаев именно он организовывает утечки. На внешние проникновения, использование уязвимостей ПО, программных закладок или вредоносного программного обеспечения приходятся остальные 20 % случаев.

««СёрчИнформ КИБ»» контролирует максимальное количество каналов передачи информации, защищая компанию от утечек данных.

ГОСТ Р 50922-96 выделяет три вида утечек информации:

• разглашение или доведение данных ограниченного доступа до лиц, не имеющих права знакомиться с ними;
• несанкционированный доступ — получение данных с нарушением установленных в компании правил разграничения доступа с использованием штатных или специальных средств, с нарушением действующих нормативно-правовых актов и правил, разработанных для защиты такой информации. Заинтересованным в НСД субъектом могут быть иностранное государство, компания-конкурент, хакерская группировка или один человек, решающий частные задачи, для которых необходим доступ к конфиденциальной информации;
• получение защищаемой информации разведками. Они действуют при помощи технических и агентурных средств.

За организацию утечек конфиденциальной информации, по классификации ФСТЭК РФ, отвечают три типа злоумышленников: с низким, средним и высоким потенциалом. К первому типу относится большинство инсайдеров, ко второму — хакеры и коммерческие специалисты по организации несанкционированного доступа к данным, третью группу составляют профессионалы из технических разведок и военных ведомств.

Утечка данных в информационных системах

Технические каналы утечки информации, электромагнитные и акустические, опосредованно относятся к похищению данных именно из информационных систем. Для них более актуальными становятся угрозы, связанные с прямым доступом злоумышленников к оборудованию и базам данных. Кроме инсайдеров, основными причинами утечки конфиденциальной информации в ИС становятся уязвимости архитектуры системы, линии связи, использование уязвимостей программного обеспечения и внедрение программных закладок.

Для ИС характерны информационные каналы утечки сведений. Они основаны на возможности доступа к системе и файлам, хранящимся на серверах, рабочих станциях пользователей, в облачных хранилищах, к вводимой и выводимой информации, к программному обеспечению и на несанкционированном подключении к линиям связи.

Степень риска иллюстрирует эксперимент, проведенный одной из компаний, занимающейся вопросами информационной безопасности. Ею была создана база данных, размещенная на облачном сервере без достаточной защиты. Первая атака на нее произошла через 8 часов, в среднем атаки повторялись 18 раз в день. Помимо данных, хакеров интересовали сведения о настройках безопасности.

Информационные каналы утечки данных с технической точки зрения делятся на подгруппы:

• канал коммутируемых линий связи;
• канал выделенных линий связи;
• канал локальной сети;
• канал носителей информации, съемных и жестких дисков;
• канал терминальных и периферийных устройств.

Для снятия информации наиболее часто применяются вредоносные программы — вирусы, «логические бомбы», «троянские кони» и аппаратные закладки. Под вредоносным понимается ПО, созданное для несанкционированного копирования, модификации, блокирования, уничтожения компьютерной информации.

Часто ВП поступает в информационную сеть вместе с интересными для пользователя программами — «троянскими конями». В такое ПО встроен код, направленный на совершение запрещенных операций. При инсталляции или запуске одновременно протекают два процесса: документированный и недокументированный. Вредоносные программы также могут попасть на ПК пользователя после открытия им фишингового письма. Также существует вариант, когда злоумышленник сначала получает контроль над компьютером пользователя, а затем самостоятельно устанавливает вредоносную программу, перехватывающую, модифицирующую и передающую вовне информацию.

Вредоносное ПО по способу действия можно разделить на две группы:

• вирусы. Они размещаются внутри программного файла, способны самостоятельно копироваться в другие файлы, угрожают целостности информации;
• программные закладки. Они скрытно работают внутри информационной системы, известны случаи, когда у крупных компаний при их помощи похищали информацию 5—6 лет подряд. Основная функция закладок — шпионская. Механизм саморазмножения обычно отсутствует, но присутствует функция самоликвидации в случае угрозы выявления.

Специалистам по информационной безопасности известно множество типов программных закладок, но хакерское сообщество постоянно создает новые. Примером известной закладки станет NetBus — вирус из серии backdoor. Он, заразив компьютер, резервирует порт и добавляет себя в автозагрузку, после этого злоумышленник подключается к зараженному компьютеру и выполняет любые необходимые ему операции. По аналогичному принципу работает SOMBERKNАнтивирусE — программная закладка для Windows XP, создающая удаленный доступ к компьютеру-цели. Иногда злоумышленники используют программное обеспечение, созданное для правоохранительных органов, например D.I.R.T. от американской компании Codex Data Systems Inc.

Основные функции закладок:

• слежение за действиями пользователей;
• сбор паролей и ключей;
• сбор информации о нажатии клавиш на клавиатуре;
• изучение информации, обрабатываемой в ИС;
• включение камеры или микрофона, скрытая запись переговоров или видео и передача их третьим лицам (Audiospy);
• передача данных внешним пользователям.

Вредоносные программы успешно «вшиваются» в прикладные программы, утилиты и сервисные программы, подсистему безопасности, реестр, ядро, командный интерпретатор, BIOS, драйверы устройств, аппаратные средства. Если они внедрены на уровень ядра или глубже, они невидимы для администратора, но одна основная демаскирующая черта у всех типов закладок присутствует — им необходимо работать с оперативной или внешней памятью.

Еще один важный канал утечки конфиденциальной информации — подключение к сети компании пользователей на удаленном доступе. Если подключение осуществляется через общедоступные Wi-Fi-сети, вероятны перехват и подмена данных. Врезка в каналы связи — явление достаточно редкое, но и этим риском пренебрегать не стоит. Здесь решением станет использование VPN-протоколов в шифровании. Еще один риск, который необходимо учитывать, — получение хакером информации об учетных записях и паролях пользователей и последующая перепродажа их в Даркнете. Сейчас в ассортименте теневых продавцов можно найти даже описание систем компьютерной безопасности ряда компаний с проверенными на практике алгоритмами обхода защиты.

Методы перекрытия путей утечки информации

ИТ-подразделения и службы безопасности предприятия в борьбе с утечками используют организационные, технические и программные методы. Организационные создают общую систему защиты, утверждают регламенты, в рамках которых пользователю сложно совершить злонамеренное действие или случайную ошибку, результатом которой станет утечка конфиденциальной информации.

Основные организационные меры:

• разработка модели угроз, характерной для конкретной организации, с опорой на классификацию ФСТЭК РФ;
• определение сравнительной степени опасности каждого из каналов утечки и разработка системы мер безопасности с опорой на модель ранжирования;
• утверждение регламента использования программ и утилит, исключающего возможность скачивания «троянских коней»;
• разработанная политика компании, предусматривающая использование только лицензионного программного обеспечения, появление закладок в котором маловероятно. При возможности — использование программных продуктов, сертифицированных ФСТЭК на наличие незадекларированных возможностей;
• в случае необходимости доработки, дописки используемых офисных программ, например 1С, привлечение к работе только зарекомендовавших себя компаний, ситуации внедрения закладок в дописанные модули не единичны;
• создание системы резервирования информации;
• создание и утверждение регламента использования съемных носителей. Часты случаи заражения ИС или АСУ при записи информации на зараженные носители;
• создание регламента безопасности при работе на удаленном доступе.

Из технических мер целесообразно использовать блокировку портов, к которым подсоединяются съемные носители информации. Блок программных решений разнообразен, необходимо применять:

• мощные антивирусы, не ограничиваясь штатными средствами, встроенными в операционные системы;
• межсетевые экраны. Это эффективное средство блокирования угроз, направленных на сеть или ее сегменты. Также они препятствуют бесконтрольному взаимодействию пользователей с Интернетом. Они реализуют политики безопасности организации по отношению ко всем протоколам семейства TCP/Сетевой адрес, легко интегрируются с антивирусами и DLP-системами;
• средства контроля и фильтрации электронной почты, отсекающие письма, имеющие признаки наличия в них вирусов: отправленные с определенных доменов, содержащие неизвестные файлы;
• средства доверенной загрузки;
• средства криптографической защиты;
• средства контроля внешних вторжений.

От инсайдеров, получивших доступ к оборудованию и файловой системе, обезопасит следующий комплекс мер:

• усложненная модель идентификации и аутентификации пользователей, например с использованием биометрических параметров или электронных ключей;
• дифференцированный доступ, предполагающий разделение пользователей на ранги, а конфиденциальной информации — на категории. Каждой группе пользователей будет доступна только часть информации, необходимая ей для работы;
• максимальное ограничение привилегий администраторов;
• системы контроля инцидентов информационной безопасности;
• журналы записи действий пользователя.

Комплексным решением станут DLP-системы, способные выявить любую утечку маркированной информации по любому из каналов и моментально блокировать передачу. Наиболее важную информацию требуется шифровать в процессе хранения и передачи по внешним каналам связи. Самостоятельные меры безопасности необходимо принимать по отношению к информации, размещаемой в облачных хранилищах, при выборе провайдера внимание нужно останавливать на тех, кто гарантирует наиболее высокую степень безопасности данных.

Обучение сотрудников станет важным фактором, снижающим риск непреднамеренных утечек. Также требуется постоянно проводить мониторинг текущего состояния внешней информационной среды, обращая внимание на появление новых угроз и источников утечек и внедряя адекватные вызовам способы борьбы. Основной задачей становится не борьба с уже выявленным каналом утечки, а предвидение его появления, тогда снять риск можно с меньшими затратами.

Пристальное внимание к возможным каналам утечки данных и постоянный мониторинг уязвимостей при помощи сканеров снизят риски разглашения и несанкционированного доступа к данным. Обязанность следить за состоянием системы информационной безопасности целесообразно возложить на отдельное подразделение, а не распределять функции между ИТ-отделом и службой безопасности. Отсутствие единой координации станет источником ошибок и упущений.

15.03.2021