Мероприятия по выявлению технических каналов утечки информации

Аналитические возможности
DLP-системы

Хотя в последнее время утечки чаще происходят из-за кибератак или в результате работы вредоносных программ, данные все еще крадут по старинке. Существенные объемы информации попадают в руки злоумышленников при помощи подслушивающих устройств или снятия данных с побочных электромагнитных излучений и наводок (ПЭМИН). Такие технические каналы утечки информации актуальны для любой организации, которая работает с данными ограниченного доступа. Чтобы сохранить ценные сведения, а заодно аттестовать информационную систему организации, необходимо обеспечить тщательную защиту от таких рисков.

Виды каналов утечки

Основными техническими каналами утечки информации в организациях в целом и информационных системах, в зависимости от принятых мер безопасности, становятся:

  •     акустические;
  •     оптические;
  •     электромагнитные;
  •     вибрационные.

Дополнительно данные с технических каналов утечки снимают путем анализа излучений в ультрафиолетовом и инфракрасном спектре, тепловых характеристик оборудования, использования скрытых логических каналов утечки.

Акустические каналы

Эксперты считают, что при помощи подслушивающих устройств, установленных в помещениях и в автотранспорте, похищают не более 15 % информации из всего объема, утекающего по техническим каналам. Но предприниматели продолжают считать подслушивающие устройства основным риском. Иногда их пытаются выявить без привлечения профессионалов, самостоятельно, приобретая несертифицированные устройства поиска. Такой тип поиска закладных устройств неэффективен, современные ЗУ часто не выявляются простыми приборами.

Современное устройство одновременно является микрофоном и радиопередатчиком, отправляющим перехватываемые данные на приемник, иногда установленный в 10—15 км от офиса. Так что не стоит бросаться искать под окнами машины с подозрительными антеннами. Сканер способен найти только устройство, работающее в режиме передатчика, но большинство накапливают данные и передают их очень быстро, в течение нескольких секунд и в ночное время. Такое устройство можно найти только специальным оборудованием, не всегда доступным организациям, не имеющим лицензию ФСБ на осуществление мероприятий по выявлению технических каналов утечки информации.

К акустическим каналам связи относятся линии городских телефонных сетей. Выявление установки на них прослушивающих устройств обычно не составляет труда. Приборы фиксируют изменение напряжения на линии и даже способны установить предполагаемое место нахождения закладки. Но современные ЗУ часто снабжены алгоритмами работы, которые компенсируют создаваемые ими помехи. Это вынуждает заменить мероприятия по выявлению каналов утечки и локализации закладок на меры по затруднению для злоумышленника снимать данные в режиме реального времени — кодировку сигнала, зашумливание.

Оптические

Оптические каналы создаются снятием информации при помощи человеческого взгляда или специальных устройств — биноклей, телескопов, в ночное время — приборов ночного видения. Помимо приборов наблюдения используются средства фиксации данных — фотографирование и видеозапись. Развитие современных технологий приводит к тому, что фотографирование территории, людей, оборудования, даже отдельных приборов может проводиться со спутника. Мероприятия по выявлению оптических каналов утечки в офисе обычно ограничиваются поиском скрытых видеокамер. Ищут их по тому же принципу, что и микрофоны, — проверяют помещение на изменения уровня радиосигнала, наличие проводниковых или полупроводниковых элементов.

ПЭМИН

По каналам электромагнитных излучений и наводок утекает до 61 % данных, снимаемых при помощи закладных устройств с технических каналов. Работающий компьютер создает колебания электромагнитного поля. Когда они проходят по проводам электроснабжения и заземления, наводки сигнала подаются на находящиеся рядом кабели другого оборудования, металлические элементы строительных конструкций и объектов ЖКХ. Закладное устройство, подключенное к проводу, розетке, трубе водоснабжения, перехватывает данные, по радиосигналу направляет их на удаленный приемник, командный компьютер преобразует электромагнитные колебания в сигнал.

С работающего компьютера сигналы ПЭМИН снимаются:

  •     с данных, выводимых на монитор;
  •     с информации, вносимой с клавиатуры;
  •     при записи данных на жесткий диск;
  •     при копировании информации со съемных носителей.

Выявление ЗУ производится методом определения изменения параметров кабелей электроснабжения или по радиосигналу.

Вибрационные

Акустический сигнал способен перейти в вибрационный — звуковые волны отражаются на окнах и элементах строительных конструкций, на них монтируются закладные устройства, способные зафиксировать и дешифровать эти колебания. Мероприятия по выявлению таких каналов осуществляются по общим принципам, путем поиска источника радиосигнала.


Проверить, все ли в порядке с защитой данных в компании, можно во время 30-дневного бесплатного теста «СёрчИнформ КИБ».  


Виды мероприятий

Мероприятия по выявлению технических каналов утечки информации проводятся в двух случаях:

  •     для обеспечения защиты информационных активов;
  •     для проведения аттестации информационной системы.

Обе цели могут быть реализованы одновременно.

Специальные проверки

Их проводят организации, аккредитованные при ФСТЭК РФ. Объект проверок — информационные системы организации в целом и их отдельные элементы. Цели проведения:

  •     поиск возможно внедренных электронных закладных устройств съема информации;
  •     выявление уязвимостей в конструкциях или произведенных позднее доработок технических средств обработки информации, которые повышают риск утечек;
  •     выявление «программных» закладок в ПО и операционных системах, установленных на элементах ИС с процессорным управлением.

Теоретически проверки можно проводить самостоятельно. Но результативней будет пригласить организацию, имеющую лицензию ФСБ. Только ее отчет о проведении мероприятий по выявлению технических каналов утечки информации ляжет в основу аттестации информационной системы по классам безопасности.

Проверка проводится до начала специальных исследований и обследований, она состоит из изучения информации об оборудовании и самого оборудования.

Специальные обследования

Специальные обследования проводятся в помещениях, в которых установлено компьютерное оборудование и проходят переговоры, в кабинетах руководства. Они представляют собой систематический осмотр каждого сантиметра поверхностей и находящихся в помещениях объектов при помощи специального оборудования — сканеров, нелинейных локаторов, рентгеновских установок, полноценных программно-аппаратных комплексов, выполняющих задачи поиска всех видов закладных устройств и подавления их работы. Обследования решают одновременно несколько задач:

  •     выявление закладных электронных средств съема информации в стенах, напольных покрытиях, строительных конструкциях, объектах ЖКХ, предметах мебели и интерьера;
  •     блокировка работы ЗУ.

Часто экспресс-обследования проводятс перед важным совещанием, невыявленные закладные устройства блокируют при помощи программно-аппаратных комплексов превентивной защиты (для снижения интенсивности сигнала, зашумления и пр.).

Специальные исследования

Специальные исследования наиболее комплексно снижают риски утечки данных по техническим каналам. При изучении каналов ПЭМИН они способны обнаружить средства перехвата побочных электромагнитных излучений и наводок в электрических и телефонных линиях. Исследования проводятся для выявления и оценки рисков возникновения естественных технических каналов утечки информации (ТКУИ) в оборудовании и информационных системах, соединительных кабелях локальной сети, линиях электроснабжения и заземления.

Параллельно с поиском закладных устройств, обслуживающих каналы ПЭМИН, выявляют закладки для акустических и виброакустических каналов. Также оценивают качество звукоизоляции в помещениях, выдают рекомендации по ее усилению с помощью шумопоглощающих материалов, изменения архитектурных решений — введения дополнительных коридоров и двойных тамбуров, установки двойных дверей и оконных проемов.

Как проводятся проверочные мероприятия

В рамках специальных обследований на наличие технических каналов утечки информации  аудиторы предпринимают следующие шаги:

1. Формируют программу проверки и список требуемого оборудования, получают данное оборудование (приобретают, берут в аренду, высвобождают время использования техники, которая уже есть в наличии). Технические средства может предоставить заказчик, после проверки работоспособности подписывается акт приема-передачи.

2. Составляют перечень проверяемого компьютерного оборудования, также по акту приема-передачи получают его у заказчика.

3. Поверяют и настраивают используемые технические средства, устанавливают эталонные значения для всех видов полей, соответствующих естественному, фоновому электромагнитному полю помещения или уровню радиосигнала, чтобы выявить отклонения.

4. Проводят техническую проверку в соответствии с планом.

5. Анализируют результаты проверки, готовят отчетов и предоставляют их заказчику.

Компьютерное оборудование и иные средства обработки информации для проверки временно изымают из бизнес-процессов организации. Заказчик обязан предоставить аудиторам следующие данные:

  •     о техническом средстве, включая всю имеющуюся техническую документацию;
  •     о предполагаемом применении средства;
  •     о месте размещения средства, о подключении его к локальной сети и Интернету.

Данные о техническом средстве помимо документации должны содержать информацию о его приобретении с указанием поставщика. Нелегально ввезенное оборудование может иметь тайные аппаратные закладки. Данные о применении оборудования должны дать ответы на вопросы:

  •     будет ли оно использовано для обработки данных ограниченного доступа или размещено в помещении, где такая информация обсуждается или обрабатывается на другом оборудовании;
  •     о максимальных грифах секретности обрабатываемой информации: для государственной тайны, персональных данных и ценной коммерческой тайны требуются разные уровни защиты;
  •     об использовании оборудования самостоятельно или в рамках информационной системы;
  •     обо всех сетях и внешних ресурсах, к которым планируется подключение компьютера.

Данные о месте размещения будут специфическими, если речь идет о государственной тайне, потребуется предоставить:

  •     полное описание объекта размещения со строительными характеристиками — планами, данными технической инвентаризации, схемами прокладки коммуникаций;
  •     перечень охраняемых информационных активов, находящихся на объекте в целом;
  •     минимальное расстояние до границы охраняемой зоны от места размещения компьютера;
  •     размещение иностранных посольств и другие места предполагаемого нахождения иностранцев в районе офиса;
  •     возможность посещения офиса иностранными гражданами.

По получении информации проводят анализ оборудования и офиса, при котором выявляются зоны риска. При изучении оборудования и ведущих к нему коммуникаций аксиомой считается, что любое устройство неизвестного назначения предназначено или для съема информации с технических каналов, или для выведения оборудования либо системы из строя. По итогам проверки составляются перечни:

  •     естественных технических каналов утечки акустической информации и электромагнитных колебаний, модулированных информационным сигналом;
  •     выявленных или, возможно, внедренных технических устройств съема информации. Эксперт должен проводить поиск по всему спектру известных ЗУ, не исключая никакие из обзора.

Закладные устройства в оборудовании и помещении выявляют, исходя из демаскирующих признаков:

  •     видовых — наличия устройств или проводов неизвестного назначения;
  •     сигнальных — обнаружения зон радиофона или электромагнитного излучения, превышающих предполагаемые стандартные показатели.

Среди операций по выявлению ЗУ по демаскирующим признакам обычно используют:

  •     дозиметрический контроль, он позволит выявить миниатюрные радиоизотопные источники питания;
  •     осмотр при помощи металлоискателя, который обнаруживает металлические элементы ЗУ;
  •     вихретоковый контроль, позволяющий уловить случайные токи от ЗУ;
  •     контроль с приборами нелинейной локации, чтобы выявить антенны устройств и маяковые сигналы;
  •     проверка рентгеновской установкой, она находит полупроводниковые элементы;
  •     радиоконтроль;
  •     разборка технического средства.

По итогам мероприятий составляется отчет. Выявленные ЗУ могут быть изъяты для проведения дополнительных исследований, чтобы установить злоумышленника, его цели и мотивы. Иногда найденные «жучки» оставляют на месте, чтобы через них дезинформировать злоумышленников. 

27.04.2021

ПОПРОБУЙТЕ «СЁРЧИНФОРМ КИБ»!

Полнофункциональное ПО без ограничений по пользователям и функциональности.

Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.