При организации системы защиты информации необходимо предусмотреть меры безопасности против утечек по техническим каналам. Такая кража данных возможна, когда злоумышленник при помощи электронных закладных устройств перехватывает звук, изображение или побочные электромагнитные излучения от работающего компьютера и преобразует их в читаемые данные. Меры борьбы с ЗУ предполагают снижение вероятности утечек и выявление устройств.
Технический канал утечки информации характеризуется сочетанием трех элементов:
Источник сигнала формирует конкретный вид технического канала. Существует классификация каналов по объекту:
При анализе акустических каналов утечки информации отдельно выделяются телефонные каналы связи, которые несут несколько рисков:
Наибольший риск утраты информации прослеживается при использовании злоумышленниками каналов ПЭМИН. Еще в 1985 году на одной из международных выставок, посвященных кибербезопасности, посетителям продемонстрировали, с какой легкостью перехваченные электромагнитные сигналы преобразовываются в изображение и текст, выведенные на экран монитора.
Каналы ПЭМИН имеют собственную классификацию:
В электромагнитных каналах утечки информации данные переносятся посредством электромагнитных излучений, генерируемых в процессе обработки данных техническими средствами. Побочные электромагнитные излучения (ПЭМИ) — нежелательные (паразитные), в процессе работы средств обработки информации они создают риск ее утечки.
Информативными считаются высокочастотные сигналы, информацией — изображение, выводимое на экран монитора, данные, обрабатываемые на устройствах ввода-вывода. Неинформативные не раскрывают суть обрабатываемой информации, они только дают представление о работе технического средства обработки.
Во время работы компьютера большинство элементов его архитектуры становится источником генерации и утечки ПЭМИН:
Информация снимается:
Отдельные риски утечки информации по техническим каналам связи создают наводки, под ними понимается передача электрических сигналов из одного устройства в другое, не предусмотренная конструктивными решениями или схемой прокладки проводов. Между устройствами или кабелями возникают паразитные связи. Наводки порождают риск утечки модулированного информационным сигналом электромагнитного импульса за пределы охраняемой зоны.
Технические каналы утечки информации возникают естественным путем, и от злоумышленника требуется только перехватить ее. Но иногда они создаются искусственно, путем высокочастотного облучения оборудования, внедрения программной закладки в компьютер или при использовании вредоносной программы, по определенному алгоритму изменяющей технические параметры работы компьютера. Эти модуляции, содержащие информационный сигнал, могут быть перехвачены и дешифрованы.
Отдельно выделяются скрытые логические каналы утечки информации. Они формируются за счет такого использования ресурсов технического и программного обеспечения ПЭВМ, которое невозможно предусмотреть политиками безопасности, например записи данных путем изменения изображения в файле. Они делятся на три группы:
Среда распространения сигнала по техническим каналам обычно ограничивается определенным пространством: некоторые сигналы могут улавливаться на расстоянии десятков метров, некоторые, например, при вводе данных с USB-клавиатуры – в пределах двух-трех метров. Акустическая информация также ограничена в распространении. А вот для видовой информации ограничений практически нет, сфотографировать объект можно даже со спутника. Для ПЭМИН существует два территориальных ограничения:
Агентами приема могут быть люди (для оптического канала), но чаще это электронные закладные устройства, предназначенные для нелегального съема информации. Закладные устройства ограничены в обороте, за незаконное приобретение или продажу предусмотрено наказание по ст. 138.1 УК РФ с максимальной санкцией до 4 лет лишения свободы. Также их использование карается по статьям, связанным с нелегальным вторжением в личную жизнь. ЗУ, которые используют злоумышленники, обычно имеют иностранное происхождение и ввозятся в страну с нарушением таможенных правил, тем не менее их характеристики полностью известны специалистам.
ЗУ могут иметь автономное питание от аккумуляторов. Это ограничивает срок их работы до нескольких суток. Радиоизотопные аккумуляторы (ядерные батарейки) способны обеспечить автономную работу устройства в течение десятков лет, но они достаточно дороги для использования в обычной конкурентной борьбе. Неавтономные ЗУ питаются за счет сети 220 В организации или за счет электроприбора, в который внедрены. Считывание данных ведется путем анализа изменения электромагнитного напряжения в кабеле питания, заземления либо в результате съема акустических или виброакустических колебаний при помощи лазерного луча.
Обычно устройства снятия информации записывают ее и затем передают по одному из трех каналов:
Для радиоволн приемное устройство может находиться за 10—15 км, для световых излучений — в зоне видимости. Работающий передатчик (активное ЗУ) легко обнаружить сканером, пассивное устройство, накапливающее данные и затем передающее их в установленное время в сжатом виде, выявить сложнее.
При разработке системы мер по блокировке утечки информации по техническим каналам реализуется совокупность мероприятий трех категорий:
До начала разработки комплекса мер необходимо классифицировать объекты защиты и определить их сравнительную ценность. Основной принцип — затраты на организацию защиты информации должны быть соразмерны величине ущерба, который может быть нанесен собственнику информационных ресурсов. Поэтому перед разработкой плана защитных мероприятий и составлением бюджета нужно оценить действительный ущерб, который может быть причинен компании при утечке информации по техническим каналам. Модель угроз должна учитывать, что фактические риски существенно ниже, чем риск утраты ценных данных в результате хакерских, инсайдерских атак и ошибок персонала.
При разработке системы мер также следует учитывать разнообразие зон, в которых могут располагаться наблюдатели и закладные устройства, не все они могут контролироваться:
Наименее вероятно предотвратить съем информации проверяющими, требуется применять устройства, блокирующие работу диктофонов, если это допустимо.
Информация, защищаемая от утечек по техническим каналам, может относиться к группам:
1 класс. Ценность данных определяется их собственником (коммерческая тайна);
2 класс. Данные имеют ограниченный доступ на основании федеральных законов (персональные данные, банковская тайна);
3 класс — государственная тайна.
Информационные объекты, имеющие ценность, присутствуют в жизни организации в виде:
Отдельным объектом защиты становятся данные, находящиеся в облачных хранилищах. Защищать их от утечки по техническим каналам обязан провайдер облачного хранилища. Эта обязанность и ответственность за ее нарушение должны быть предусмотрены в договоре с провайдером. Но на практике обычно заключаются типовые договоры присоединения и контролем за этим аспектом безопасности организации пренебрегают.
Превентивные меры носят в основном организационный характер. Для выявления закладных устройств съема информации с технических каналов утечки используется комплекс мероприятий:
Для маскировки сигнала используются приборы зашумления, генерирующие шумы различной природы — акустические, электромагнитные.
Он направлен на сокращение рисков перехвата сигнала. Для этого меняются характеристики помещения и оборудования, обрабатывающего информацию, и ограничивается доступ третьих лиц на охраняемый объект. Если в помещении планируется обработка данных, содержащих государственную тайну, применяемые технические и организационные меры защиты должны обеспечить его аттестацию по классам безопасности информации. Аттестация подтверждает наличие на объекте необходимых и достаточных условий, предусмотренных требованиями по защите данных. Помимо помещения, аттестации подлежат средства обработки информации, если речь идет о государственной тайне.
Порядок проведения аттестации:
Испытания проводятся по следующему алгоритму:
Комплекс мероприятий по снижению мощности распространяемого сигнала по техническим каналам утечки информации зависит от его типа. Акустические, звуковые волны распространяются в воздушной среде, преобразовываясь в виброакустические при контакте со стеклом и металлическими конструкциями. Повышение уровня звукопоглощения снижает радиус распространения сигнала, это приводит к необходимости:
Активацию мобильных телефонов можно предотвратить, помещая их в акустические сейфы в период временного неиспользования. Во избежание активации микрофона нужно проверять компьютер на применение вредоносных программ и тщательно контролировать использование всех офисных приложений, дающих администратору возможность управления компьютером пользователя, в том числе тайм-трекеров.
Сигналы ПЭМИН снижаются путем сужения радиуса зоны распространения электромагнитного сигнала R2. Это обеспечивается экранированием оборудования, его доработкой. ФСТЭК рекомендует стандарт Secret, специализированные организации могут улучшить типовые иностранные и отечественные компьютеры по этому стандарту, и зона распространения сигнала снижается с 20—30 м до 8—10 м согласно требованиям технического задания. При такой доработке электромагнитные колебания не выходят за пределы охраняемой зоны.
Защита оптических каналов обеспечивается также организационными мерами — расположением мониторов относительно окон, маскировкой объектов, представляющих интерес, снижением их освещенности.
Все перечисленные меры должны сопровождаться усилением пропускного режима. Установка электрических замков и камер видеонаблюдения в охраняемых помещениях позволит снизить риск размещения закладных устройств и выявить нарушителя.
«СёрчИнформ КИБ» перехватывает данные, передаваемые по различным каналам – почта, облачные сервисы, съемные носители, мессенджеры, документы, отправленные на печать. Программа анализирует поток данных и выявляет случаи их небезопасного использования.
Мероприятия по выявлению закладных устройств должны стать необходимостью в организациях трех типов:
Поиск закладных устройств может проводиться систематически или перед важными переговорами. Его можно организовать самостоятельно или вызвав специализированную организацию, работающую по лицензии ФСБ на поиск электронных закладных устройств в оборудовании и помещениях. Помещения и оборудование проверяются по трем алгоритмам:
Объектами формирования технических каналов утечки помимо человека и его речи становятся:
Наводки электромагнитного излучения могут передаваться на вспомогательные системы и создавать дополнительные утечки по каналам ПЭМИН. К вспомогательному оборудованию относятся:
По этим каналам информация может передаваться путем наводок от аппаратуры, которая ее обрабатывает, и перехватываться вне пределов охраняемой зоны. Данные, обрабатываемые в системах биометрического распознавания, имеют самостоятельную ценность для злоумышленников.
Службы безопасности организаций должны создать систему осмотров помещений визуально и при помощи специальных средств, которая обеспечит выявление имеющихся ЗУ и предотвращение размещения новых. Целесообразно установить следующий график:
Такая информационная гигиена снимает большинство рисков утечки информации по техническим каналам, за исключением тех, в которых устройства съема информации вынесены за пределы контролируемой зоны (утечка по виброакустическим каналам и за счет электромагнитных наводок). Борьба с такими утечками строится на снижении уровня сигнала.
Частота проверки помещения для выявления утечек информации по техническим каналам основывается на категории обрабатываемой в нем информации и количестве лиц, имеющих допуск. Наиболее внимательно и часто проверяются переговорные, кабинеты руководства, опен-спейсы, где на некоторых ПК обрабатываются данные с высоким уровнем конфиденциальности. Визуальный осмотр несложен, главное — не упустить ни одного объекта или участка стены, пола, перегородки. Изучаются все «свежие» повреждения целостности покрытий, следы передвижения мебели и картин, складки портьер, технические устройства, бытовые приборы, телефонные аппараты, предметы интерьера. Разбор какого-либо оборудования на этом этапе не проводится. Это делают, если при изучении предметаспециальной аппаратурой внутри выявляют проводники, полупроводники, металлические элементы.
На этапе визуального контроля используется специальное оборудование, но не высокотехнологичное — фонари, досмотровые зеркала, металлоискатели, оптоволоконные эндоскопы, помогающие изучить труднодоступные места. Для более качественного изучения помещения и поиска закладных устройств используется специальное оборудование. Индикаторы поля найдут активные радиозакладки, но для инициации их включения нужно обеспечить подачу громкого звукового сигнала в помещение — включить телевизор или разговаривать.
Нелинейные локаторы выявят ЗУ, в структуре которых есть полупроводники. Лазерные портативные установки найдут проводниковые элементы. Комплексное оборудование рассчитано на поиск ЗУ разных категорий, при этом оно часто снабжено дополнительной опцией подавления работы диктофонов, радиопередатчиков, телефонов, работающих в разных стандартах связи.
Средства защиты от утечки информации по техническим каналам делятся на активные и пассивные. Пассивные снижают уровень сигнала, а активные делают его нечитаемым для электронных закладных устройств. Для маскировки используют «белый шум» акустического характера, подражание речи, колебания электромагнитного поля. К некоторым видам приборов может подключаться несколько генераторов с разными типами шумов.
Использование активных способов защиты не всегда оправданно, оно снижает качество обработки информации, создавая дополнительные помехи. Если существует возможность ограничиться пассивными способами защиты, это будет оптимальным решением.
27.04.2021
Полнофункциональное ПО без ограничений по пользователям и функциональности.
Подпишитесь на нашу рассылку и получите
свод правил информационной безопасности
для сотрудников в шуточных