Help! Информация «уходит»!

«Для того и щуки, чтобы караси не дремали...»

Бизнеса без тайн не существует. Эта истина сегодня никем не оспаривается, хотя совсем недавно казалось, что тайны бывают только военными и государственными, а все, что не относится к этим сферам, можно делать с «открытым забралом». Улыбчивому западному бизнесмену защита коммерческой информации - все равно что чистка зубов (обычная гигиена). Вспоминаю, как после завершения внедрения системы автоматизации на одном из наших объектов американские программисты шустро вынесли во двор программные носители и служебную документацию и ...весело грелись у костра. Тогда, в семидесятых, мне казалось это забавным.

Наш бизнесмен, особенно тот, который испытал «уход» информации на собственной «шкуре», как правило, старается решить проблему с помощью старой доброй системы: берет на работу только «своих», оговаривает в контрактах «неразглашение», поощряет доносы. Однако человеческий фактор непобедим: «тайное всегда становится явным», «то, что знают двое, знает свинья» и т. д. Популярная система уж очень часто «сбоит» - «свои» порой становятся «чужими», разглашение остается недоказанным, а доносы быстро разъедают сплоченный, казалось бы, коллектив.

Опыт показывает, что эффективные системы защиты всегда способствуют уменьшению внутреннего документооборота, особенно видимого (бумажного), и обеспечивают надежное разграничение доступа к информации. Это главное. Замечу также, что только автоматизация деятельности фирмы позволяет решить эти задачи.

Приведенное выше соображение, однако, редко является мотивом для компьютеризации. Обычно в ходу другие аргументы: требуется выйти в автоматизированные коммуникации передачи данных, хочется ускорить подготовку и переработку информации и т. п. В общем - «облегчить», «ускорить», «улучшить». А раз так, то неизбежна стратегическая ошибка - о проблеме защиты вспоминают тогда, когда компьютерная система (КС) уже внедрена и требуются дополнительные затраты на доработки и изменения, часто значительные. Конечно же, это не относится к банкам, страховым компаниям, государственным органам контроля и т. п. Для них защита информации является официальным обязательством перед клиентом и государством и поэтому актуальна всегда.

Тем, кто занимается компьютеризацией деятельности фирмы и рассчитывает на уменьшение внутреннего документооборота и другие удовольствия, не стоит все же сильно обольщаться, так как появление новых, в контексте защиты информации, забот неизбежно. Говоря языком шахмат, приходится слегка «жертвовать качеством». Во-первых, эта самая КС подчинит своему «здоровью» ритмичность деятельности (необходимость поддержки работоспособности КС). Во-вторых, следует смириться с привлечением посторонних специалистов, по крайней мере, для разработки (установки) программ, технического обслуживания и сопровождения КС (возможность вскрытия конфиденциальной информации «чужими»), В-третьих, вход в автоматизированные коммуникации передачи данных требует специальных усилий по защите информации при приеме/передаче.

Не следует также забывать еще об одном феномене, который породила компьютеризация: КС сама по себе является привлекательным объектом для хищения, разрушения, взлома защиты и использования не по назначению. Так что головной боли прибавилось. Тому, кто начитался скандальных историй о «налетах» на банковскую информацию в компьютерных сетях США, повсюду мерещится хакер. Хочу заверить, что сегодня «Повесть о доблестном хакере» сочиняют сами хакеры да еще те, кто заинтересован в вашем испуге, - фирмы, зарабатывающие на продаже средств защиты. Хотя известно, что наш отечественный хакер специализируется на взломе защиты программ с целью подпольной торговли. А посему в случае «ухода» информации прежде всего «шерше ля фам» в собственном доме.

Приведу перечень основных причин «ухода» информации и классификацию предлагаемых сегодня средств защиты.

Причины:

нарушение работоспособности КС;
вирусирование;
искажение информации;
превышение уровня компетенции; • нерегламентное хранение информации;
несанкционированный доступ к КС и архиву;
хищение информации из КС;
хищение информации в коммуникациях передачи данных;
хищение программ.

По количеству доходящих до меня «криков о помощи», на первом месте находится вирусирование, на втором - несанкционированный доступ, на третьем - нарушение работоспособности КС. Все эти хищения имели место, но за руку вряд ли кто был пойман. Исходя из того, как «гуляют» программы по фирмам, делаю вывод, что «караси дремлют» (не знаю случая, чтобы кто-то судился со «щукой»-хакером).

Средства защиты:

организационные (О);
аппаратные (А);
программные (П);
аппаратно-программные (АГ1).

Ни одно из средств не претендует на универсальность, тем более, что требования к за-
щите колеблются от элементарного подтверждения прав эксплуатации ПК до авторегистрации использования ресурсов сети со страховкой от перехвата информации в коммуникации передачи данных. Замечу, что О-средства, как правило, применяются всегда (даже хранение и использование аппаратного ключа для единственного ПК приходится регламентировать).
Выскажу некоторые соображения относительно организации защиты в КС средней сложности.

Нарушение работоспособности

Может произойти в самый неподходящий момент и наверняка застопорит переработку текущей информации на период восстановления. Что бы ни случилось, регламент восстановления должен быть определен заранее (О).
Если причиной явился «тяжелый» отказ технических средств, а время подпирает, следует перейти на резерв (для этого он, естественно, должен существовать). При потере питающего напряжения в сети остается одно - дожидаться его восстановления (вряд ли есть в наличии резервный источник - это роскошь). Хуже, если к нарушению привели некомпетентные действия эксплуатационного персонала; это будет означать, что надежность КС не выдерживает критики и над ней следует еще серьезно поработать.

В КС непростой конфигурации чаще всего трудно быстро установить причину нарушения, следовательно, решение этой задачи приходится оставлять на потом. Добившись восстановления работоспособности системы, нужно выяснить, что информация текущего сеанса работы либо утеряна безвозвратно, либо искажена, либо нарушена ее целостность. Под целостностью предлагаю в таком контексте понимать соответствие всех структур базы данных одному времени среза (т. е. операция работы с данными выполнена до конца - испрервана). Лучшее решение - вернуться в начало прерванного сеанса и повторить все действия (О). Для этого, конечно, необходимо иметь сохраненный срез информации по завершении предыдущего сеанса и процедуру сохранения/восстановления информационного фонда системы (П). Дальше все просто, если регламент сохранения соблюдается. Неплохо также, если факт сохранения программно контролируется и автоматически фиксируется, а носители специально маркируются (метод «программной или программно-механической идентификации носителей») и при сохранении/восстановлении опознаются для защиты от их подмены (П, АП).

Защита от некомпетентных действий персонала достигается, во-первых, высоким эксплуатационным качеством пользовательских программ (отсутствие тупиковых ситуаций в алгоритме, наличие арсенала подсказок и др.), во-вторых, разумным ограничением предлагаемых функций: например, программной блокировкой работы с системными функциями (операционной системой и ее окружением). Последнее не даст возможности манипулировать файловой структурой программ и баз данных. Желательно, чтобы для рядового пользователя эти структуры были невидимыми.

И последнее. Регламентом должно предусматриваться ведение журнала нарушений работоспособности КС для статистики и дальнейшего анализа (О).

Примечание. Наши умельцы от защиты предлагают, кроме всего прочего, средство против умышленного вредительства, которое называется так: «метод физической защиты системного блока типа "кожух" с замком и подключением к сигнализации».

Вирусирование

По сути оно приводит к нарушению работоспособности КС, по разговор о нем особый. Чтобы не иметь таких проблем, можно жестко регламентировать использование гибких носителей (О). Как правило, этого бывает достаточно. Исключение составляет случай, когда в КС предусмотрена «подкачка» программ по каналам связи со стороны, но такие системы встречаются нечасто. Если О-средств недостаточно, то применяют метод «идентификации гибких носителей» (П), что позволяет блокировать использование носителей, не маркированных специально (см. выше). Если от использования сторонних носителей уйти невозможно, то применяют П-средства, реализующие методы «прозрачного шифрования (в том числе криптографического)», «страховых копий», «инспектирования на наличие конкретных вирусов», «персонального детектора-защитника»,«защиты отперехвата прерываний». При всем многообразии ни один из них не обеспечивает надежной защиты - новые вирусы плодятся быстрее, чем разрабатываются антивирусные средства. Разновидностей вирусов предостаточно, в последнее время среди них появились довольно агрессивные, которые «взрываются» - разрушают загрузочные секторы, нарушают файловые структуры («One Half» - один из лидеров сегодня). Даже если информация сохранилась, начать очередной сеанс работы становится проблематичным. Поиск вирусов - процедура не из приятных: приходится инспектировать файлы на всех ПК и используемых гибких носителях.
Хотя «дезактивация» может не занять много времени, но кто даст гарантию, что «болезнь» локализована и рецидива не будет? Вывод пока один: следует четко соблюдать регламент эксплуатации КС, отказавшись от компьютерных игр, по крайней мере, сомнительного происхождения. Напомню периоды особой опасности: внедрение программ, тестирование технических средств и другие акции, связанные с использованием сторонних носителей.

Искажение информации

Использование специально искаженной информации может оказаться гораздо более неприятным, чем ее «уход». Оно вернее всего означает, что хакер засел среди «своих» и вычислить его будет ох как трудно, если регламент (О) и П/АП не применены (имею в виду методы «разграничения доступа к файлам по паролю», «подтверждения прав эксплуатации ПК» и «аутентификации файлов»). Первый и последний разрешают доступ к файлу только «хозяину» - пользователю, ответственному за его создание/корректировку/ удаление/размножение/получение печатного образа. Все перечисленное, строго говоря, защищает от превышения уровня компетенции пользователя, но об этом дальше.

Искажение может быть и случайным, что не менее неприятно. В этом случае остается грешить только на качество прикладных программ, в которых недостаточно проработаны функции контроля информации. Однако не следует думать, что можно всегда защититься от ошибочного ввода. Если, например, информация текстовая, то какой-либо контроль, кроме визуального, вообще невозможен. Другое дело, если информация связана некоторой логикой, и тем более вычислениями. Замечу также, что, перегрузив программу различными контролями, можно ухудшить ее скоростные качества (за все приходится платить). Так что разработчику часто требуется лавировать между двумя условиями. Главный же вывод заключается в том, что подстраховаться от непреднамеренного искажения информации на все 100% практически невозможно. С этим нужно смириться.

Превышение уровня компетенции

Как правило, это происходит в АРМах (Автоматизированных Рабочих Местах) группового пользования, где проблема разграничения доступа особо актуальна, так как одна программа может эксплуатироваться несколькими пользователями. Разработчику программы трудно учесть фактор разграничения применительно ко всем случаям жизни. Логика же разграничения принципиально полезна хотя бы потому, что функции пользователей могут изменяться динамически, а деформировать из-за этого программу накладно. В этом случае можно было бы применить метод «разграничение доступа к файлам по паролю”, если бы персонал разного уровня компетенции пользвался разными файлами, но так бывает только в идеале. Кроме того, в общем случае уровни определяются содержанием не доступной информации, а разрешенных процедур ее использования. Например: уровень 1 - просмотр/ создание/корректировка/печать/архивирование; уровень 2 - просмотр/корректировка; уровень 3 - просмотр; уровень 4 - недоступна.

Для того, чтобы обеспечить любую схему разграничения, требуется реализовать в программе паролирование уровня компетенции, автоматическую настройку меню на доступность тех процедур, которые соответствуют указанному паролем уровню. Неплохо обеспечить это в программе как служебный режим. Естественно, этот режим должен быть доступен только самому высокому уровню компетенции (диспетчера системы, например). Самый низкий уровень компетенции может не паролироваться, но при завершении сеанса работы устанавливаться автоматически (без специальных действий сброса текущего уровня).

Желательно, чтобы предложенная схема была встроенной в пользовательскую программу (П), поскольку реализовываться автономными средствами защиты она не может, хотя подобные средства, якобы решающие проблему, предлагаются как методы «разграничения доступа к файлам по паролю» (П), «подтверждения прав доступа к файлам с помощью ключа-дискеты» (АП).

Нерегламентное хранение информации

Понятно, что надежная сохранность информации КС не может быть обеспечена автоматически. В одном случае не хватает ресурсов, в другом - надежности или резерва технических средств. По крайней мере, ясно, что можно пока обойтись без больших затрат, используя гибкие носители и, естественно, определив регламент (О) выполнения процедур сохранения/восстановления/архивации/разархивации/работы с архивом. Процедура сохранения/восстановления уже упоминалась при анализе нарушений работоспособности КС. Процедура архивации/разархивации/работы с архивом актуальна для всех программ учета (не следует путать с архивированием/разархивированием - процедурой сжатия/разворачивания файлов, выполняемой локальными программами-архиваторами). Архивация нужна для ведения архива такой информации, к которой приходится возвращаться в процессе работы для анализа. Как правило, ее корректировка не допускается, обеспечивается лишь удобный просмотр. Так же, как в процедуре сохранения/восстановления архивные носители следует специально маркировать (метод «программной или программно-механической идентификации носителей»)и опознавать в процессе архивации.

Носители должны регистрироваться, храниться в безопасном месте и иметь контрольные дубликаты (О). Это важный фактор защиты.

Желательно, чтобы процедуры хранения были реализованы как встроенные пользовательские программы, для которых это необходимо (П). Только в таком случае хакеру тяжко придется.

Несанкционированный доступ к КС и архиву

Большинство из известных сегодня методов защиты нацелено на борьбу именно с несанкционированным доступом к КС. Считается достаточным разрешить эту проблему, как другие отпадут сами собой. Это заблуждение. Одного уровня защиты явно мало и как раз в силу того, что хакер может находиться среди «своих», и тогда «налет» состоится в процессе регламентной работы с КС.

Наиболее популярный метод «подтверждения прав эксплуатации с помощью аппаратного ключа» (А), не защищает от «своего». Он был реализован еще до появления ПК в других линиях вычислительной техники. Более надежен метод «подтверждения прав эксплуатации с помощью ключа-дискеты» (АП). Дальше идут уже упоминавшиеся методы «идентификации гибких носителей» (АП), на которые хакер попытается сбросить информацию, но они не спасают от системной дискеты, заранее для этой цели подготовленной. Есть еще ряд методов: «разграничение доступа к файлам по паролю», «приписка портов ввода/вывода», «санкционирование запуска программ». К сожалению, все они поддерживаются локальными программами (драйверами, диспетчерами), об отключении или модификации которых хакер мечтает, а значит, когда-то своего добьется.

Для несанкционированного доступа к архиву, организация которого приведена выше - при анализе защиты от нерегламентного хранения информации, - хакеру придется обойти О-средства, что бывает значительно труднее, чем взлом П-средств.

Хищение информации

Предположим, хакер преодолел все предыдущие уровни защиты: подтвердил права доступа к КС и желаемым файлам, дискета для сброса информации опознана защитой как «родная». Желательно, чтобы здесь его поджидало новое препятствие - информация может быть зашифрованной, если применены методы «прозрачного либо регламентного шифрования файлов (в том числе криптографического)» (П, АП). Аппаратно-программный вариант надежнее, так как алгоритм шифрования в этом случае «зашит» в аппаратной части и менее доступен анализу. Не сомневаюсь, что на дешифровку уйдет немало времени. Шифрование может быть обеспечено и встроенными в программу П-средствами.

Хищение информации в коммуникациях передачи данных

Все упомянутые методы первоначально разработаны для защиты информации в каналах передачи данных. Популярный и, пожалуй, единственный метод «криптографического шифрования информации для передачи по каналам связи» (АП) отличается от них тем, что шифрование производится непосредственно перед передачей либо в процессе передачи и, как правило, с помощью аппаратных средств. Вне передачи информация остается незашифрованной. На приеме она дешифруется. Существует возможность динамически менять (вырабатывать новый) ключ шифрования и передавать его адресату.

Хищение програм

Для хакера программа представляет интерес не только как объект тиражирования, но и как средство для раскрытия интересующей информации. Особенно, когда метод ее защиты реализован в программе. Найти способ взлома без программы бывает практически невозможно.

«Снимают» программу как из КС, так и с гибкого носителя, на котором она хранится. В первом случае для защиты применяются методы «привязки программ к уникальным параметрам ПК» (установка программы на другом ПК будет затруднительна), «шифрования файлов» (для дальнейшего использования программу необходимо дешифровать), «привязки программ к уникальным параметрам спецустройства» (П, АП).

Во втором случае прибегают к методам «инсталляций с ограничением их количества», «защиты гибких носителей от несанкционированного копирования” (П). Особо выделяют еще два метода которые, «бьют» по пользователю и из-за этого применяются редко: «контроля на предельное количество исполнений» и «контроля на предельную дату исполнения» (П). Это, скорее, методы защиты не от хищения, а от неплатежа (случай, когда разработчик внедрил программу, а заказчик отказался от оплаты).

Существенным препятствием для хакера является то, что разработчик, как правило, не продает исходные тексты программ. При их наличии взлом встроенной защиты и тиражирование программ - одно удовольствие. Это правило, защищающее права собственности разработчика, однако ограничивает возможности пользователя по доработке программ, но на то существуют услуги разработчика по сопровождению и др. Хотя, все покупается...

Отказываюсь от детального описания методов защиты и анализа их надежности, а посему расставлю акценты.

1. Организационные средства защиты нельзя подменить никакими другими. Самые изощренные программные «ловушки» и «заглушки» могут не сработать, если нарушается регламент.
2. Из локальных и встроенных
программных средств защиты предпочтительнее встроенные - взломать их сложнее. Особенно эффективны они при реализации разграничения доступа к информации.
3.Хищение информации - дело прибыльное и требующее высокой квалификации. Следовательно, в «группу риска» прежде всего попадают программисты. «Особо опасны» из них те, кто
разрабатывает и устанавливает средства защиты.
4.Надежное средство защиты также является предметом хищения.
5.Не следует удивляться, если хорошая система защиты окажется дороже защищаемой информации.

Help! Информация «уходит»!