Шпионаж — это не шутки

Некоторое время назад интернет-проект «Технологии разведки и бизнеса» провел опрос на тему использования в компаниях технологий «бизнес-разведки». Для 61% опрошенных такие технологии оказались знакомыми. А на вопрос: «Ограничиваетесь ли вы этичными методами сбора информации?» — только 18% респондентов ответили, что ограничиваются всегда, 74% признались, что не всегда, а 8% никогда не утруждают себя подобными «условностями». То есть жесткая конкуренция подталкивает игроков рынка к применению неэтичных технологий сбора информации о своих соперниках. Об этих технологиях и пойдет речь в данной статье. Дабы не пытаться объять необъятное, ограничимся разговором о внешних угрозах, хотя по данным различных исследований они составляют от 20 до 40%, а остальное — это угрозы внутренние, связанные с неумелыми или неправомерными действиями сотрудников компаний.

Шпионская пыль

Так как сегодня практически ни один бизнес не обходится без использования информационных технологий, компьютерной техники и современных средств связи, большая часть шпионского арсенала разрабатывается для того, чтобы перехватить информацию с этих устройств. Угроза для ценных данных может исходить как из физической среды, так и из информационной.

Что касается среды физической, то «...наиболее уязвимыми для несанкционированного доступа являются сегодня инфокоммуникационные системы и оборудование, предназначенное для обработки, хранения и передачи конфиденциальной информации», — считает Олег Маслов, проректор ПГАТИ по научной работе. Поэтому к традиционным способам шпионажа — установке подслушивающих устройств — добавляются технические методы, позволяющие анализировать электромагнитные поля в местах размещения оборудования.

А каналов и видов утечки информации довольно много. Это утечки по акустическому и виброакустическому каналам, по открытым каналам проводной и радиосвязи, по каналам электромагнитных полей, через вторичные источники электропитания (за счет неравномерности потребления). Утечка возможна за счет тока в цепях заземления, в результате взаимного влияния между неэкранированными цепями инфокоммуникационных систем и вспомогательными техническими средствами и т. п. Все это не столь безобидные угрозы, их осуществление может привести и приводит к краже ноу-хау компаний, к срыву крупных сделок и другим «неприятностям».

Вот один из случаев, приведенных в книге «Секреты шпионажа и разведки». В начале 90-х была сорвана 200-миллионная телекоммуникационная сделка между Индонезией и японской компанией NEC. Агентство национальной безопасности США перехватило переговоры ее участников, в результате контракт был поделен между NEC и американской корпорацией AT&T.

Сегодня много разговоров ведется о нанотехнологиях. По мнению Ральфа Меркле, представителя компании Xerox, нанотехнологии произведут такую же революцию в манипулировании материей, какую произвели компьютеры в манипулировании информацией. Александр Оликевич, основатель Молодежного научно-технического центра в Москве, бывший генеральный директор Nanotechnology News Network, отметил, что постоянный рост значимости и цены информации в бизнесе приведет к новым прорывам в технологиях информационной войны.

Приведём пример: в 2004 году американскими специалистами были испытаны микроскопические датчики — Smart Dust («умная пыль») — размером с небольшие пушинки. Эти датчики дешевы в производстве, а разнородные сигналы от них могут быть проанализированы в едином центре управления. В арсенале шпионской аппаратуры уже сегодня имеется новое поколение компактных сканирующих зондовых микроскопов с атомарным разрешением, которые позволяют анализировать и обрабатывать информацию о наноразмерной структуре различных поверхностей. Новые, недорогие миниатюрные закладки легко встраиваются во многие детали и расходные материалы промышленного и офисного оборудования и т. д. «Одной из фундаментальных проблем наступающей эпохи нанотехнологий является то, что создавать средства эффективной атаки можно будет гораздо быстрее, чем средства защиты от них», — считает Александр Оликевич.

Комплекс Герострата

Довольно широко сегодня применяются средства перехвата данных в информационной среде. Атаки на корпоративные ресурсы ведутся постоянно. Специалисты признают, что в такой большой стране, как Россия, иметь стопроцентно доверенные каналы (гарантированно защищенные) практически невозможно. Именно в этой «недоверенной» среде и возникают разной степени угрозы от внешних нарушителей.

Известно, что существуют угрозы трех видов — это угрозы конфиденциальности информации, ее целостности и доступности. Одна из «простых» целей злоумышленников — нарушить доступность информации, добиться того, чтобы объект не отзывался на штатные запросы извне либо изнутри сети, разладить работоспособность различных сервисов. Иногда это делается, чтобы потешить свое тщеславие, — это характерно для людей, страдающих «комплексом Герострата». Конечно, это довольно наивная цель, но атаки для ее достижения ведутся регулярно. А спрогнозировать поведение вирусописателей с геростратовским складом ума — невозможно в принципе.

Вообще схема организации атаки довольно типична. Ресурс сначала подвергается «прощупыванию» со стороны удаленного сайта, расположенного, например, в Европе. Это серия непродолжительных атак, во время которых производится сканирование портов и протоколов. После небольшого затишья с сайта, находящегося в другой стране, предпринимаются уже серьезные атаки, исчисляемые тысячами. Длится все это несколько дней. Если атакуемый ресурс оборудован системами отражения, атаки вскоре прекращаются, и через некоторое время — лишь снова небольшой всплеск. И так происходит с определенной периодичностью.

По словам Валерия Андреева, директора по науке и развитию компании ИВК, если ресурс выносится за границу защищенного периметра («на улицу»), он в обязательном порядке подвергается такого рода нападению. Незамеченным остаться не удастся. Бывает, что атака с целью нарушения доступности информации попутно подвергает модификации атакуемый ресурс. То есть ссылка на этот ресурс неожиданно приводит пользователя, скажем, на порносайт. Последствия здесь не столь критичны. Но если это важный государственный ресурс, или банк, или сайт Президента...

Кража информации

До этого мы говорили о возможных подходах к объекту. Теперь речь пойдёт о краже информации, которая циркулирует внутри контролируемой зоны объекта. В докладе, выпущенном недавно компанией McAfee, отмечено, что сегодня кибернападения стали более сложными по своей природе и более искусными в деле обхода систем защиты. К настоящему времени атаки далеко ушли от любительских, превратившись в хорошо финансируемые организованные операции политического, военного, экономического и технического шпионажа. В таких кибервойнах, по сведениям McAfee, участвуют 120 государств мира. Доклад был подготовлен с использованием данных, полученных компанией от НАТО, ФБР, британского Управления по борьбе с организованной преступностью и других ведомств.

Валерий Андреев также отметил, что внешний нарушитель для организации кражи конфиденциальных данных «...должен быть высококвалифицированным специалистом. Помимо этого он должен знать внутреннюю структуру сети объекта, установленное там ПО, организацию следования информационных потоков, иметь представление, где находится интересующая его информация, и т. д.». Частично эти данные злоумышленник может получить по результатам разведывательных атак на сеть объекта, проанализировав хотя бы заголовки циркулирующих в сети почтовых сообщений.

Однако это не простое знание, поэтому чаще речь идет о группе нарушителей, один из которых — «засланный казачок», действительно засланный или завербованный сотрудник интересующей злоумышленников компании. Технология похищения такова: в сеть корпорации внедряется некий софт, совсем не обязательно вредный. Одной из задач изощренных нарушителей является не разрушение системы объекта, а наоборот, поддержание ее в работоспособном состоянии как можно дольше, чтобы скрыть несанкционированные возможности системы. «На сегодня это одна из самых опасных угроз», — отметил Валерий Андреев. Организация может ни о чем и не подозревать, но регулярно терять критически важную для себя информацию из-за работы в системе специализированного программного обеспечения, маскирующегося под какие-то протоколы, службы и т. д.

Возможность массового внедрения такого софта была продемонстрирована миру в конце нынешнего лета. Корпорация Microsoft 24 августа и в последующие несколько дней осуществила несанкционированный доступ в десятки миллионов компьютеров по всему миру, включая Россию. Несанкционированный доступ заключался в установке на компьютеры с ОС Windows XP и Windows Vista, подключенные к Интернету, девяти файлов. Причем на экран монитора не выводилось обычное предупреждение пользователя с запросом на разрешение установки обновления. Более того, файлы были изменены даже на компьютерах, где функция автоматического обновления в операционной системе была отключена. Корпорация Microsoft признала данный факт организации несанкционированного доступа. Этот случай привел в своем докладе на CNews-форуме депутат Госдумы России Виктор Алкснис. Если отвлечься от столь неординарного случая, то, как сказал Вениамин Левцов, директор по развитию направления информационной безопасности LETA IT-Company: «Сегодня атаки избирательны, они нацелены на конкретные учреждения, на конкретных физических лиц. Самая распространенная цель атакующих — обогащение».

Защититься от угроз можно

Как видим, вести свой бизнес в современной жесткой конкурентной среде не просто. Однако существуют определенные рекомендации по построению в компании системы информационной безопасности.

По словам Валерия Адреева, в самом начале любого проекта по внедрению АСУ необходимо составить концепцию информационной безопасности. Это научный документ, в котором четко описываются объекты автоматизации, вся их структура. Определяется, что на этих объектах требует защиты: конфиденциальная информация (сведения ограниченного доступа), сведения, составляющие государственную тайну РФ (с делением на «секретные» и «совершенно секретные»). Далее составляется нормативно-правовая методическая база для разграничения ответственности за нарушение конфиденциальности, целостности и доступности этой информации.

Составление такой концепции обязательно для государственных учреждений. А для первых лиц российским законодательством определена их ответственность перед государством за разглашение сведений ограниченного распространения, тем более составляющих гостайну РФ.

Концепция информационной безопасности должна быть согласована с соответствующими организациями, в частности ФСТЭК РФ (бывшая Гостехкомиссия) и ЦБС ФСБ. Факт согласования впоследствии облегчает выдачу положительных заключений по дальнейшим аудиторским проверкам.

После составления и согласования концепции разрабатывается система безопасности, а потом приобретаются необходимые для защиты информации средства, производится их установка и настройка. Для защиты от угроз в физической среде сегодня предлагается весьма обширный ассортимент продукции. Есть и средства обеспечения сетевой безопасности (защита периметра сети), и антивирусное ПО. А для безопасной передачи конфиденциальной информации существуют сертифицированные средства шифрования и разграничения доступа. Весь этот комплекс мер лучше проводить с помощью внешних консультантов — профессионалов в вопросах безопасности.

При организации системы защиты информационной безопасности существуют как минимум две проблемы. Одна из них — недостаток квалификации администраторов систем безопасности. «Есть представление о защите периметра, но все равно мы слышим об атаках, о „падении“ сети. Это говорит не о том, что технология плоха, а о том, что человек может сделать это неправильно, например, ошибиться в настройке, не там поставить сетевой экран», — рассуждает Вениамин Левцов.

С этим согласен Валерий Андреев: «Проблема заказчика в том, что нет хороших администраторов. Порой „боевой“ сервер Oracle защищён лишь одной маленькой установкой, за которой уже граница периметра. То есть эта установка и сервер находятся в прямой IP-видимости. Это значит, что структура сети с критически важным ресурсом фактически опубликована на периметре объекта. И тут вопиющее нарушение политики безопасности».

Вторая проблема организации защиты — нежелание тратить на эти цели деньги. Стоимость концепции информационной безопасности — документа объемом около пятидесяти страниц — составляет примерно 40% стоимости всего проекта автоматизации. А сам комплекс средств безопасности обычно на несколько порядков дороже средств нападения. Поэтому многие руководители откладывают решение вопросов безопасности до лучших времён, хотя отсутствие таких средств может привести компанию к более серьезным потерям. Существенно снизить сумму средств на организацию информационной безопасности помогают административные меры. Это комплекс мер по разграничению доступа, а также обязательное требование соблюдать осторожность при работе с электронной почтой — не открывать письма, отправленные с неизвестных адресов, и тем более не открывать вложения. Кроме того, необходимо подобрать надежный персонал на должности администраторов системы информационной безопасности.

В заключение отметим, что вопросы ИТ-безопасности нельзя откладывать «на потом». Средств для защиты информации сегодня предлагается достаточно, есть на рынке фирмы-консультанты. Разработано и действует семейство стандартов ИСО 27001. Большинство серьезных крупных компаний не вступит в партнерские отношения с фирмами, у которых нет сертификатов, подтверждающих соответствие этим стандартам, а западные инвесторы могут отказать в кредите. Словом, если вам дорог ваш бизнес, к делу защиты информации надо подходить самым серьезным образом.