Так называемые “флэшки” — компактные устройства, взаимодействующие с персональными компьютерами по протоколу USB через одноименный порт, —наиболее часто встречающийся аксессуар после мобильного телефона, смартфона или коммуникатора. Отметим, что объем поставок устройств с поддержкой USB во всем мире в 2007 г. превысил 2,6 млрд. шт. (по данным аналитической компании In-Stat). Сегодня у большинства компьютерных пользователей есть хотя бы одна “флэшка”, т. е. USB-модуль памяти той или иной емкости (чаще всего 512 Мб — 1 Гб). Их основная функция — служить портативным хранилищем для информации, но между тем многие владельцы пренебрегают их защитой, поэтому при потере устройства ценные данные могут быть не только утрачены, но и прочитаны тем, для кого они совсем не предназначаются.
Список утечек
Интересное исследование в этой области провела компания SanDisk в марте 2008 г. Выполненный ею опрос рядовых сотрудников и ИТ-специалистов компаний в США показал, что руководители ИТ-отделов зачастую не имеют представления о масштабах распространения незащищенных флэш-накопителей в своих организациях: выяснилось, что 77% респондентов используют личные флэш-накопители для хранения и переноса служебных данных. А вот опрошенные ИТ-специалисты оценивали долю сотрудников, использующих “флэшки” в служебных целях, только в 35%, т. е. ошибались в два с лишним раза. Причем информация, размещаемая на портативных устройствах памяти, совсем не такая безобидная, как может показаться на первый взгляд. Примерно 25% сотрудников копируют на личные флэш-накопители данные о заказчиках с указанием их контактных данных и особенностей поставок, 17% -- информацию финансового характера, в том числе номера счетов и ответственных за платежи лиц.
Вместе с этим на флэш-накопителях частенько оказываются детали бизнес-планов (15% случаев) с разработанными финансовыми показателями и анализом рынка, информация о сотрудниках компании (13%), включая их банковские счета и номера карточек социального страхования, а также маркетинговые планы компаний (13%). Замыкают своеобразный хит-парад видов данных всевозможные объекты интеллектуальной собственности (6%), а также исходные коды программ (6%). И это при том, что USB-накопители нередко теряют. Примерно каждый десятый сотрудник компании (12%) когда-либо находил флэш-накопитель в общественных местах. И знаете, что с ними делали 55% опрошенных пользователей? Они пробовали посмотреть хранящуюся на нем информацию.
В целом риск утечки информации, возникающий при использовании внешних накопителей, очень высок. И российская корпоративная среда отнюдь не исключение. “Распространенность в нашей стране USB-устройств не меньшая, чем в Европе и США, — уверен Дмитрий Харченко, директор по продуктам InfoWatch, — а заподозрить наших соотечественников в большей самодисциплине по сравнению с европейскими пользователями можно с трудом. Для полноты картины к этому можно прибавить традиционную закрытость статистики по случаям реальных утечек конфиденциальной информации”.
При этом существует определенный парадокс — источниками этого риска могут быть как злоумышленники, так и вполне лояльные сотрудники, имеющие обыкновение брать “флэшки” с конфиденциальными данными для работы дома и терять их. Дело в том, комментирует Максим Скида, руководитель направления защиты персональных данных компании Aladdin Software Security R.D., что вопросам защиты данных, хранящихся на “флэшках”, к сожалению, пока не научились уделять должного внимания. “Это особенно распространено среди, так скажем, рядового персонала, — уверен он. — Руководители же и владельцы компаний в большинстве своем уже пришли к пониманию необходимости защиты данных, и многие из них специально устанавливают на свои ноутбуки средства шифрования, с помощью которых защищаются данные на мобильных носителях”.
Кроме того, отмечает Алексей Чередниченко, технический специалист в области информационной безопасности представительства Symantec в России и странах СНГ, невнимательность к безопасности USB-устройств, безусловно, стимулирует распространение таких угроз, как вирусы, черви и особенно троянские программы. Ведь “флэшки” часто переставляются из одного компьютера в другой и после электронной почты являются, пожалуй, самым значительным каналом распространения шпионского ПО.
Интересное исследование-эксперимент на эту тему было проведено в прошлом году и в Великобритании, рассказывает Антон Разумов, технический консультант Check Point Software Technologies, когда на автозаправочных станциях, в “курилках” крупных корпораций и т. д. подбрасывали “флэшки”, на которых содержался “убойный” комплект вирусов и шпионского ПО. Цель эксперимента — проверить, будут ли служащие, нашедшие подобное устройство, его использовать и подключать к корпоративному компьютеру. Результаты оказались не очень утешительными — 95% пользователей, нашедших незнакомое USB-устройство памяти, захотели им воспользоваться и подключили его к корпоративным машинам.
Контроль и методы борьбы
Средств противодействия угрозам от использования портативных USB-накопителей известно много, уверен Алексей Раевский, генеральный директор компании SecurIT, — от заливки USB-портов эпоксидной смолой или отключения их в BIOS до запрета вноса на территорию офиса любых устройств, которые могут быть подключены к компьютеру. Однако наиболее адекватную и надежную защиту в состоянии обеспечить только современная система контроля использования внешних устройств (к примеру, Zlock), в числе функций которой обязательно должны присутствовать развитые возможности журналирования и мониторинга действий пользователей, “теневое” копирование, шифрование внешних носителей данных и т. д.
С ним согласен и Андрей Зеренков, руководитель управления консалтинга “Лаборатории Касперского”. По его мнению, самым простым вариантом было бы использование компьютеров без USB-портов: такая опция есть у поставщиков многих тонких клиентов и рабочих станций для корпоративных пользователей. Если же USB-порт требуется сотрудникам в качестве обязательного канала передачи данных и большинство ПК организации уже обладает USB-портами, то нужны дополнительные ресурсы для создания защиты от потенциальной угрозы проникновения вредоносного ПО и утечек информации через такой канал. При этом необходимо внедрение специальных регламентов по информационной безопасности. До тех пор пока это не будет реализовано, данные будут продолжать “уплывать”.
Вместе с тем ИТ-отделам можно рекомендовать использование специальных средств защиты информации от несанкционированного копирования данных, хранящихся на мобильном носителе. Самым проверенным и надежным в этом случае, считает г-н Скида, является использование криптографического преобразования информации (шифрования) в комплексе с применением строгой аппаратной аутентификации (посредством токена или смарт-карты) при доступе к данным. С помощью решений для шифрования данных можно также создать защищенные диски на мобильных носителях: такой “джентльменский набор” гарантирует защиту конфиденциальной информации, даже если “флэшка” будет украдена или потеряна.
В любом случае, когда мы говорим об информационной безопасности, максимальный эффект достигается при использовании комплексных мер, включающих в себя организационные методы и применение технических средств защиты информации. По мнению г-на Разумова, наиболее “адекватным средством защиты представляется унифицированное программное решение с полным набором функций защиты, которое содержит не только межсетевой экран и защиту от вредоносного кода, но также защиту данных и организацию удаленного доступа с применением технологии VPN”.
Главное при определении мер защиты не подходить бессистемно к решению данного вопроса и не применять все аппаратно-программные методы, какие только могут быть, уверен г-н Чередниченко. "Существующая методология предусматривает, что прежде всего нужно оценить текущие риски, затем выявить угрозы, которые могут быть реальными для условий конкретной организации, и уже после этого выбирать способы противодействия им, – рекомендует он. – Если говорить о технических средствах, то наиболее часто используются средства шифрования данных и контроля доступа к USB-устройствам (например, DeviceLock): для получения доступа к информации, размещенной на “флэшке”, пользователь должен авторизоваться”.
Интересное решение предлагают и в InfoWatch — контролировать не факт использования самих USB-устройств, а информацию, которая на них записывается. Для этого ее необходимо перехватить, классифицировать (определить, насколько она секретна), вынести решение о дальнейших действиях с нею и сохранить архивную копию для дальнейшего аудита и ретроспективного анализа. В случае если информация признана секретной, но ее использование крайне важно, ее можно записать в зашифрованном виде.
К счастью, все более широкое распространение получают решения по защите флэш-накопителей с помощью встроенных средств безопасности. К примеру, в устройствах Cruzer Enterprise компании SanDisk, инициатора опроса о безопасности USB-устройств памяти, предусмотрена система программных ключей SecurID, разработанных компанией RSA. Во время первого подключения накопителя к компьютеру пользователю автоматически выдается запрос на создание пароля — только после этого Cruzer Enterprise обеспечивают защиту пользовательских файлов за счет применения 256-разрядного аппаратного шифрования по алгоритму AES.
Есть у SanDisk есть и другое решение — USB-накопитель с виртуальным ПО от Check Point. По сути, на USB-устройстве размещено полностью защищенное рабочее пространство, которым можно управлять через виртуальный рабочий стол: после подключения накопителя он автоматически распознается компьютером, и можно начинать работу с файлами, размещенными на накопителе. Отметим, что внедрение встроенных механизмов защиты в USB-устройства -- явление массовое: 256-разрядным шифрованием оснащены устройства таких компаний, как Apacer, Kingston, Transcend, Prestigio и т. д. Осталось только убедить пользователей использовать эти системы безопасности по назначению.