Хотя в последнее время утечки чаще происходят из-за кибератак или в результате работы вредоносных программ, данные все еще крадут по старинке. Существенные объемы информации попадают в руки злоумышленников при помощи подслушивающих устройств или снятия данных с побочных электромагнитных излучений и наводок (ПЭМИН). Такие технические каналы утечки информации актуальны для любой организации, которая работает с данными ограниченного доступа. Чтобы сохранить ценные сведения, а заодно аттестовать информационную систему организации, необходимо обеспечить тщательную защиту от таких рисков.
Основными техническими каналами утечки информации в организациях в целом и информационных системах, в зависимости от принятых мер безопасности, становятся:
Дополнительно данные с технических каналов утечки снимают путем анализа излучений в ультрафиолетовом и инфракрасном спектре, тепловых характеристик оборудования, использования скрытых логических каналов утечки.
Эксперты считают, что при помощи подслушивающих устройств, установленных в помещениях и в автотранспорте, похищают не более 15 % информации из всего объема, утекающего по техническим каналам. Но предприниматели продолжают считать подслушивающие устройства основным риском. Иногда их пытаются выявить без привлечения профессионалов, самостоятельно, приобретая несертифицированные устройства поиска. Такой тип поиска закладных устройств неэффективен, современные ЗУ часто не выявляются простыми приборами.
Современное устройство одновременно является микрофоном и радиопередатчиком, отправляющим перехватываемые данные на приемник, иногда установленный в 10—15 км от офиса. Так что не стоит бросаться искать под окнами машины с подозрительными антеннами. Сканер способен найти только устройство, работающее в режиме передатчика, но большинство накапливают данные и передают их очень быстро, в течение нескольких секунд и в ночное время. Такое устройство можно найти только специальным оборудованием, не всегда доступным организациям, не имеющим лицензию ФСБ на осуществление мероприятий по выявлению технических каналов утечки информации.
К акустическим каналам связи относятся линии городских телефонных сетей. Выявление установки на них прослушивающих устройств обычно не составляет труда. Приборы фиксируют изменение напряжения на линии и даже способны установить предполагаемое место нахождения закладки. Но современные ЗУ часто снабжены алгоритмами работы, которые компенсируют создаваемые ими помехи. Это вынуждает заменить мероприятия по выявлению каналов утечки и локализации закладок на меры по затруднению для злоумышленника снимать данные в режиме реального времени — кодировку сигнала, зашумливание.
Оптические каналы создаются снятием информации при помощи человеческого взгляда или специальных устройств — биноклей, телескопов, в ночное время — приборов ночного видения. Помимо приборов наблюдения используются средства фиксации данных — фотографирование и видеозапись. Развитие современных технологий приводит к тому, что фотографирование территории, людей, оборудования, даже отдельных приборов может проводиться со спутника. Мероприятия по выявлению оптических каналов утечки в офисе обычно ограничиваются поиском скрытых видеокамер. Ищут их по тому же принципу, что и микрофоны, — проверяют помещение на изменения уровня радиосигнала, наличие проводниковых или полупроводниковых элементов.
По каналам электромагнитных излучений и наводок утекает до 61 % данных, снимаемых при помощи закладных устройств с технических каналов. Работающий компьютер создает колебания электромагнитного поля. Когда они проходят по проводам электроснабжения и заземления, наводки сигнала подаются на находящиеся рядом кабели другого оборудования, металлические элементы строительных конструкций и объектов ЖКХ. Закладное устройство, подключенное к проводу, розетке, трубе водоснабжения, перехватывает данные, по радиосигналу направляет их на удаленный приемник, командный компьютер преобразует электромагнитные колебания в сигнал.
С работающего компьютера сигналы ПЭМИН снимаются:
Выявление ЗУ производится методом определения изменения параметров кабелей электроснабжения или по радиосигналу.
Акустический сигнал способен перейти в вибрационный — звуковые волны отражаются на окнах и элементах строительных конструкций, на них монтируются закладные устройства, способные зафиксировать и дешифровать эти колебания. Мероприятия по выявлению таких каналов осуществляются по общим принципам, путем поиска источника радиосигнала.
Проверить, все ли в порядке с защитой данных в компании, можно во время 30-дневного бесплатного теста «СёрчИнформ КИБ».
Мероприятия по выявлению технических каналов утечки информации проводятся в двух случаях:
Обе цели могут быть реализованы одновременно.
Их проводят организации, аккредитованные при ФСТЭК РФ. Объект проверок — информационные системы организации в целом и их отдельные элементы. Цели проведения:
Теоретически проверки можно проводить самостоятельно. Но результативней будет пригласить организацию, имеющую лицензию ФСБ. Только ее отчет о проведении мероприятий по выявлению технических каналов утечки информации ляжет в основу аттестации информационной системы по классам безопасности.
Проверка проводится до начала специальных исследований и обследований, она состоит из изучения информации об оборудовании и самого оборудования.
Специальные обследования проводятся в помещениях, в которых установлено компьютерное оборудование и проходят переговоры, в кабинетах руководства. Они представляют собой систематический осмотр каждого сантиметра поверхностей и находящихся в помещениях объектов при помощи специального оборудования — сканеров, нелинейных локаторов, рентгеновских установок, полноценных программно-аппаратных комплексов, выполняющих задачи поиска всех видов закладных устройств и подавления их работы. Обследования решают одновременно несколько задач:
Часто экспресс-обследования проводятс перед важным совещанием, невыявленные закладные устройства блокируют при помощи программно-аппаратных комплексов превентивной защиты (для снижения интенсивности сигнала, зашумления и пр.).
Специальные исследования наиболее комплексно снижают риски утечки данных по техническим каналам. При изучении каналов ПЭМИН они способны обнаружить средства перехвата побочных электромагнитных излучений и наводок в электрических и телефонных линиях. Исследования проводятся для выявления и оценки рисков возникновения естественных технических каналов утечки информации (ТКУИ) в оборудовании и информационных системах, соединительных кабелях локальной сети, линиях электроснабжения и заземления.
Параллельно с поиском закладных устройств, обслуживающих каналы ПЭМИН, выявляют закладки для акустических и виброакустических каналов. Также оценивают качество звукоизоляции в помещениях, выдают рекомендации по ее усилению с помощью шумопоглощающих материалов, изменения архитектурных решений — введения дополнительных коридоров и двойных тамбуров, установки двойных дверей и оконных проемов.
В рамках специальных обследований на наличие технических каналов утечки информации аудиторы предпринимают следующие шаги:
1. Формируют программу проверки и список требуемого оборудования, получают данное оборудование (приобретают, берут в аренду, высвобождают время использования техники, которая уже есть в наличии). Технические средства может предоставить заказчик, после проверки работоспособности подписывается акт приема-передачи.
2. Составляют перечень проверяемого компьютерного оборудования, также по акту приема-передачи получают его у заказчика.
3. Поверяют и настраивают используемые технические средства, устанавливают эталонные значения для всех видов полей, соответствующих естественному, фоновому электромагнитному полю помещения или уровню радиосигнала, чтобы выявить отклонения.
4. Проводят техническую проверку в соответствии с планом.
5. Анализируют результаты проверки, готовят отчетов и предоставляют их заказчику.
Компьютерное оборудование и иные средства обработки информации для проверки временно изымают из бизнес-процессов организации. Заказчик обязан предоставить аудиторам следующие данные:
Данные о техническом средстве помимо документации должны содержать информацию о его приобретении с указанием поставщика. Нелегально ввезенное оборудование может иметь тайные аппаратные закладки. Данные о применении оборудования должны дать ответы на вопросы:
Данные о месте размещения будут специфическими, если речь идет о государственной тайне, потребуется предоставить:
По получении информации проводят анализ оборудования и офиса, при котором выявляются зоны риска. При изучении оборудования и ведущих к нему коммуникаций аксиомой считается, что любое устройство неизвестного назначения предназначено или для съема информации с технических каналов, или для выведения оборудования либо системы из строя. По итогам проверки составляются перечни:
Закладные устройства в оборудовании и помещении выявляют, исходя из демаскирующих признаков:
Среди операций по выявлению ЗУ по демаскирующим признакам обычно используют:
По итогам мероприятий составляется отчет. Выявленные ЗУ могут быть изъяты для проведения дополнительных исследований, чтобы установить злоумышленника, его цели и мотивы. Иногда найденные «жучки» оставляют на месте, чтобы через них дезинформировать злоумышленников.
27.04.2021
Полнофункциональное ПО без ограничений по пользователям и функциональности.
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных