Выявление каналов утечки информации

Контроль рабочего времени
с помощью DLP-системы

СёрчИнформ КИБ
30 дней для тестирования «СёрчИнформ КИБ» с полным функционалом ОФОРМИТЬ ЗАЯВКУ
Время чтения
Шрифт

Привыкнув к сообщениям о хакерских атаках, компании забывают о том, что утечка информации часто происходит по другим каналам. Данные крадут из информационных систем, используя уязвимости в оборудовании и ПО или подкупая инсайдеров. Снимают конфиденциальные сведения с технических каналов: например, внедряют в офисы прослушку или другие закладные устройства, которые собирают электромагнитную и акустическую информацию. Есть и другие способы шпионажа, стоят за этим обычно организации, специализирующиеся на конкурентной разведке. При этом службы безопасности часто не в состоянии выявить эти каналы утечки информации ввиду отсутствия средств защиты — специальных знаний и оборудования.

Что такое каналы утечки информации

При разработке системы информационной безопасности под каналами утечки сведений понимается совокупность методов и путей хищения информации, когда в единой информационной цепочке одно из звеньев — человек, оборудование, электронный ресурс — нарушает регламент работы и перенаправляет поток данных третьим лицам.  Классификация каналов проводится по нескольким принципам, она облегчает планирование методики борьбы с ними.

Прямые и косвенные

Каналы делятся на косвенные и прямые, среди первых — изучение неуничтоженного мусора, документов, кража вынесенных за пределы периметра организации носителей информации, удаленный перехват электромагнитных излучений. Вторые реализуются в ходе прямого доступа инсайдера к информационной системе и документам организации.

Технические и информационные

Разделение каналов на технические и информационные основывается на источнике возникновении утечки. Информационные реализуются в виде несанкционированного доступа пользователя к информации, хранящейся в электронном виде или в виде бумажного документа. Для технического канала характерен перехват свободно распространяемого сигнала физической природы (звука, света, электромагнитной волны) при помощи технических устройств.


«СёрчИнформ КИБ» контролирует максимальное количество каналов передачи информации, защищая компанию от утечек данных.


Выделяют разные технические каналы утечки:

  • акустические — запись звука, разговоров, прослушивание;
  • акустоэлектрические — получение информации через звуковые волны с дальнейшей ее передачей через сети электропитания;
  • виброакустические — данные получают в ходе исследования строительных конструкций, оконных стекол, коммуникаций при воздействии на них звукового сигнала;
  • оптические — наблюдение, копирование, фотографирование персонала, документов, монитора, видеосъемка;
  • электромагнитные — копирование электромагнитных полей путем снятия индуктивных наводок;
  • радиоизлучение — реализуются путем внедрения в оборудование и помещения электронных устройств съема речевой информации, закладок.

Технические каналы утечки информации также делят на естественные и специально создаваемые. Первые, как следует из названия, это электромагнитные сигналы, которые возникают естественным путем в ходе обработки информации, и могут быть перехвачены. Специально создаваемые реализуются в виде вредоносных программных средств, которые побуждают элементы архитектуры компьютера генерировать дополнительный электромагнитный сигнал. Затем этот сигнал модулируется информационным. Например, так работает ПО семейства soft-TEMPEST.

Выявление технических каналов

При использовании технического канала для перехвата данных, как правило, применяют электронные закладные устройства. Чтобы заложить их, злоумышленникам необходимо попасть на охраняемый объект. При этом оборот таких ЗУ в России ограничен и приводит к уголовной ответственности по ст. 138.1 УК РФ. Поэтому для поиска закладок привлекают организации с лицензией ФСБ.

Однако выявить демаскирующие признаки закладных устройств и других технических каналов утечки информации можно уже при первичном осмотре, без использования специального оборудования. С этого стоит начинать работу по обнаружению уязвимостей в защитном периметре.

Демаскирующие признаки закладных устройств

Собственные демаскирующие признаки присущи каждому виду закладных устройств.

Для проводных закладок микрофонного типа демаскирующими признаками окажутся тонкий провод, выдающий наличие спрятанного микрофона, и присутствие в этом проводе постоянного невысокого напряжения и низкочастотных информационных сигналов.

Проводные закладные устройства сейчас используются крайне редко, для автономных ЗУ характерны следующие признаки:

  • появление в охраняемом пространстве предмета, ранее не присутствовавшего в интерьере;
  • в корпусе предмета можно увидеть несколько отверстий;
  • предмет работает на батарейках или аккумуляторах, ЗУ может быть закамуфлировано под игрушку, фонарик, внедрено в увлажнитель воздуха или аналогичное оборудование;
  • при облучении предмета нелинейным радиолокатором выявляются полупроводниковые элементы;
  • при просвечивании рентгеновскими лучами обнаруживаются проводниковые элементы.

Такие средства защиты информации, как нелинейный радиолокатор или лампа с рентгеновскими лучами, есть у небольшого количества служб безопасности. Для выявления ЗУ надо приглашать специалистов из сертифицированных организаций.

Обычно камуфлированные ЗУ устанавливаются в предметы быта. Косвенным признаком наличия в предмете автономного ЗУ станетт ограничение его возможностей: например, музыкальный центр не включается,  настольная лампа не горит. Нередко ЗУ устанавливают не в электронные приборы, а в подставку для письменных приборов или папку для бумаг. Тогда найти их можно по побочным электромагнитным излучениям. Если при проверке в предмете обнаружены проводники или полупроводники, внедренные устройства обнаруживаются только при разборке.

Для сетевых акустических закладок есть свои демаскирующие признаки:

  • высокочастотный сигнал в диапазоне 40—600 кГц, выявленный в линии электропитания, при этом он модулируется низкочастотным информационным сигналом;
  • утечка тока в размере до 40—70 мА при всех выключенных электроприборах;
  • отличие емкости линии электропитания от типовых значений при отсутствии потребления.

Все еще встречаются телефонные радиозакладки в качестве средства хищения информации. Офисные сети используют стационарное оборудование, и для них демаскирующими признаками станут:

  • наличие радиоизлучения неизвестного происхождения с изменением радиосигнала информационным сигналом, транслируемым по телефонной линии;
  • отличие сопротивления телефонной линии от нуля при отключенном от сети телефоне и отключении телефонного провода от щитка электропитания;
  • отличие сопротивления телефонной линии от стандартного при отключении телефона и линии от щитка;
  • падение напряжения вплоть до показателя 2 В в конкретной линии в момент снятия трубки или ее опускания;
  • наличие тока утечки (от единиц до нескольких десятков мА) в телефонной линии при отключенном телефоне.

Подразделение, отвечающее за информационную безопасность, в своей деятельности использует комплекс средств и методов защиты информации, начиная со стандартных способов выявления утечек с опорой на демаскирующие признаки и результаты проведения аудита информационной безопасности.

Способы поиска ЗУ и других технических каналов

Большинство демаскирующих признаков ЗУ можно обнаружить только специальными средствами. Поэтому среди основных способов выявления технических каналов утечки информации — привлечение профессионалов и использование особого оборудования. 

Специалисты применяют детекторы скрытых микрофонов и видеокамер, индикаторы электромагнитных полей, радиочастотомеры, сканерные приемники и анализаторы спектра, системные автоматизированные аппаратно- программные комплексы выявления ЗУ, нелинейные локаторы, рентгеновские комплексы, средства проверки линий электропередачи и телефонных сетей.

При наличии контрольной аппаратуры используют методы поиска ЗУ:

  • специальное обследование помещений и удаленных объектов, автотранспорта;
  • поиск радио-ЗУ с использованием индикаторов поля, радиочастотомеров, сканерных приемников и интерсепторов;
  • обследование помещений с целью выявления технических устройств перехвата информации при помощи системных автоматизированных аппаратно-программных комплексов выявления ЗУ;
  • использование детекторов диктофонов для поиска звукозаписывающих устройств, он основан на выявлении побочных электромагнитных излучений;
  • поиск спрятанных видеокамер при помощи детекторов видеокамер по принципу выявления побочных излучений;
  • поиск с использованием нелинейных локаторов, способных найти ЗУ в строительных конструкциях и предметах интерьера в работающем и выключенном состоянии на достаточно большой глубине (до 80 см), устройство съема информации обнаруживается «сквозь стены»;
  • использование рентгеновских комплексов для анализа техники и предметов интерьера;
  • проверка линий электропитания, радиотрансляции и телефонной связи высокочастотным зондом для выявления нештатного изменения напряжения;
  • проверка телефонных аппаратов.

Для снижения уровня риска уже при проектировании помещения оно должно быть выстроено так, чтобы избежать возможности установки ЗУ и перехвата при их помощи электромагнитных и виброакустических сигналов. При работе с информацией высокой степени конфиденциальности — государственной тайной — помещения специально сертифицируются на соответствие требованиям безопасности.

Оборудование, используемое для поиска ЗУ, должно быть допущено к применению на территории России. Самым простым и доступным оборудованием для выявления ЗУ будут индикаторы электромагнитного поля, которые звуковым сигналом оповестят о его напряженности в контрольной точке выше фоновых показателей. Недостаток простых средств защиты — работа в узком спектре радиочастот, используемом простыми устройствами съема информации. Так, интерсепторы оповестят о наличии радиосигнала и сделают вывод о его частоте, но в узком диапазоне, а профессиональные сканеры работают по всему спектру частот, используемых всеми известными видами закладных устройств съема информации. Еще бо́льшие возможности предоставляют автоматизированные программно-аппаратные комплексы контроля. Они способны выявить все известные ЗУ, но использование их доступно только организациям, имеющим лицензию. В качестве простых решений могут применяться детекторы пустот и металлоискатели.

Способы выявления путей утечки в ИС

Подразделение организации, отвечающее за информационную безопасность, обязано знать основные способы выявления электромагнитных и акустических каналов утечки информации. Но звукозапись и запись электромагнитных частот применяются при возможности проникнуть в помещение. Если таковой у злоумышленников нет, они могут попытаться внедрить инсайдера — например, подкупить сотрудника организации, который будет сливать информацию изнутри.

Помимо технических, электромагнитных каналов связи утечка информации происходит из информационных сетей. Для ее выявления используются:

  • программные средства контроля внешних вторжений;
  • сканеры уязвимости;
  • аудит инцидентов информационной безопасности;
  • комплексные DLP- и SIEM-системы.

Инсайдеры выступают самыми опасными каналами утечки информации, так как имеюте прямой доступ к информационной системе. DLP-системы предназначены для их поиска и осуществляют мониторинг информационной системы и движения потока данных внутри нее.—. Они способны контролировать несанкционированное копирование, вывод информации на принтере или передачу ее по каналам связи — электронной почте, мессенджерам и др. После того, как система обнаружит факт или попытку утечки, необходимо заблокировать передачу данных, таким образом нейтрализуя канал. Многие современные DLP, как и другое ПО для информационной безопасности, снабжены функционалом блокировок движения информации по большинству известных электронных каналов (email, мессенджеры, USB, принтеры, облачные хранилища, веб-сервисы и др.).

Весь комплекс мер по выявлению каналов утечки информации и ее остановки должен опираться на организационно-правовую базу компании. Действия пользователей должны быть регламентированы. Это создает возможность привлечения к ответственности за хищение данных и передачу их третьим лицам.
 

15.03.2021

ПОПРОБУЙТЕ «СЁРЧИНФОРМ КИБ»!

Полнофункциональное ПО без ограничений по пользователям и функциональности.

ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними