Анализ технических каналов утечки информации призван обеспечить выявление и блокировку их использования. В киберэпоху большая часть данных попадает в распоряжение злоумышленников путем кибератак, но технические каналы продолжают оставаться актуальными. Поэтому до сих пор проводится процедура аттестации помещений и оборудования с целью определения и снижения уровня рисков.
Утечка информации чаще всего происходит по четырем типам технических каналов:
Наиболее часто происходит утечка информации по каналам ПЭМИН, более чем в 60 % случаев. По изменению электромагнитного излучения можно получить информацию о:
«СёрчИнформ КИБ» контролирует максимальное количество каналов передачи информации, защищая компанию от утечек данных.
Снятие информации по электромагнитному и акустическому каналу производится при помощи электронных закладных устройств (ЗУ). Если выявлена утечка информации или существует такой риск, заявленный службой безопасности, необходимо объединить два вида реагирования:
ЗУ обычно снабжены радиопередатчиками, они могут находиться в самых неожиданных местах. Если ЗУ, снимающие данные по техническим каналам утечки информации через ПЭМИН, обычно прячутся внутри системного блока либо параллельно присоединяются к проводам электроснабжения или заземления, акустические устройства могут быть закамуфлированы в любом предмете интерьера, спрятаны под обоями, присутствовать в виде шпильки в прическе посетительницы офиса.
Большинство ЗУ излучают радиоволны в постоянном режиме, что облегчает их выявление. Но современные устройства снятия информации с технических каналов утечки могут записывать данные в накопитель, а затем передавать их в течение краткого времени в сжатом виде по внешней команде. Первый тип устройств можно выявить по стабильному изменению радиоизлучения в определенном месте, второй можно найти только в момент работы, что затрудняет поиск.
Организация при наличии в штате специалистов может самостоятельно провести анализ технических каналов утечки информации и найти закладные устройства. ЗУ можно выявить по наличию трех групп признаков:
Категория демаскирующего признака определяет алгоритм анализа.
Поиск электронного закладного устройства снятия информации с технического канала утечки по видовым признакам производится путем простого визуального осмотра помещения силами сотрудников служб безопасности. Он не требует привлечения специалистов организаций, имеющих лицензию на осуществление:
Визуальный осмотр проводится внимательно, с изучением начинки компьютера, каждого сантиметра провода или металлической коммуникации, стен и пола. Сотрудники службы безопасности должны быть ознакомлены с основными видами закладных устройств, чтобы иметь возможность выявить их максимально эффективно. Устройства, вшитые в мягкую мебель или внедренные в предметы быта, элементы электроосвещения, таким способом не ищут, разбор предметов при поиске не производится.
Визуальный осмотр проводится по схеме, схожей со схемой осмотра места происшествия, по заранее определенному маршруту: обычно от входной двери, сначала по периферии, потом в центре исследуемой зоны. В процессе осмотра необходимо обращать внимание на свежие царапины на мебели и стенах, особенно возле электророзеток и выключателей. Много информации дадут следы пыли, показывающие смещение картин или ковров, иногда удается найти ведущие из ниоткуда отрезки проводов, свидетельствующие о наличии ЗУ, или предметы неизвестного назначения, часто в форме параллелепипеда — акустические закладки. Обязательно осматриваются окна на датчики снятия виброакустической информации, металлические элементы систем ЖКХ, к которым часто крепятся ЗУ, снимающие колебания электромагнитного поля.
Недорогое вспомогательное оборудование — фонари, эндоскопы, досмотровые зеркала — поможет выявить ЗУ с большей долей вероятности, особенно установленные в спешке и неаккуратно. Также помощь окажет металлоискатель, выявляющий закладные устройства с металлическими элементами в стенах или под напольным покрытием. При наличии рентгеновской установки, способной видеть проводники и микросхемы, поиск будет успешней. Привлечение к работе одного из сотрудников, постоянно работающих в помещении, поможет выявить изменения, заметные привычному глазу.
Анализ помещения на наличие технических каналов утечки информации и обслуживающих их закладных устройств проводится дистанционно, при помощи специальных средств. Лучше для проведения поиска привлекать специальные агентства, способные дать профессиональные рекомендации по обеспечению безопасности. Иногда оставить нетронутым выявленное устройство съема информации с акустического канала окажется более целесообразным. Это даст возможность проведения дезинформации и дальнейшего анализа поведения злоумышленника.
Основные методы поиска закладных устройств по демаскирующим признакам:
Контроль городских телефонных линий, несмотря на снижение частоты применения этого типа переговоров, становится важным элементом поиска. Выявление ЗУ, подключенного к телефонной линии, упрощается тем, что параллельное подключение неминуемо создает изменение электрических параметров: напряжения и тока, значений емкости и индуктивности, сопротивления. Но и здесь необходимо предполагать, что новейшие закладные устройства имеют компенсирующие свойства.
Выявление закладок в телефонных линиях проводится при опущенной трубке телефона.
Используются устройства:
Для выявления закладных устройств, установленных в помещении и снимающих данные с электромагнитных и акустических технических каналов утечки, используются сканеры, анализаторы поля, рентгеновские установки, ищущие полупроводниковые элементы, нелинейные локаторы, выявляющие проводники. Все чаще устройства с разным функционалом объединяются в программно-аппаратный комплекс, одновременно сканирующий разные типы полей и отклонений от заданных значений и передающий данные в командный компьютер для анализа. Такие комплексы снабжены генераторами прицельной помехи, подавляющей активность ЗУ. Использование комплекса оказывается эффективным перед ответственными совещаниями, когда сначала проводится экспресс-поиск закладных устройств, а затем подавляется работа не выявленных или находящихся при себе у участников совещаний.
На первом этапе поиска используются сканеры устройств снятия аудиоинформации, действующие по амплитудному методу или методу акустической завязки. В первом случае происходит изменение радиосигнала, во втором установление связи между антенной сканера и микрофоном устройства вызывает появление звукового сигнала. Сканеры эффективны для поиска ЗУ, подающих радиосигнал, активных.
Одно из направлений поиска опирается на выявление технических элементов, обязательно входящих в конструкцию ЗУ: полупроводниковых и металлических элементов. Для поиска закладок в стенах их проверяют на наличие пустот при помощи устройств, действующих по принципу эхолота. Также помощь окажет тепловизор, показывающий разницу температур между бетоном или кирпичной кладкой и воздухом пустоты. Выявление проводников при помощи нелинейного локатора затрудняется тем, что схожие признаки генерируют окислившиеся металлические элементы, например ржавые трубы водоснабжения, поэтому показания приборов должны анализироваться тщательно. Чем мощнее нелинейный локатор и выше частота излучения, тем точнее он выявляет проводники и тем глубже способен «прослушать» стену.
После проведения анализа помещения с целью выявления технических каналов утечки информации возникает задача: что делать с найденными устройствами — изъять, разрушить без изъятия, использовать в целях дезинформации. Изъятие часто связано с необходимостью разрушать часть стены помещения. Если это исключено, работу ЗУ блокируют.
Полный анализ помещения на выявление ЗУ и их обезвреживание требует временных и финансовых ресурсов. Проводиться он должен в случае действительной необходимости, например, при обнаружении необъяснимой утечки информации.
27.04.2021
Полнофункциональное ПО без ограничений по пользователям и функциональности.
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных