Самый распространенный аксессуар у современного бизнес-пользователя — компактный модуль флэш-памяти. При этом, согласно исследованиям SanDisk, 77% респондентов используют личные флэш-накопители для хранения и переноса служебных данных. Полностью запретить использование флэшек нереально — USB-порты есть у подавляющего числа современных компьютеров. ИТ-подразделениям компаний разной величины остается только внедрять системы контроля и безопасности, учитывающие особенности этих персональных систем — такие, как высокие риск заражения вирусами и вероятность потери самих носителей.
Типология угрозы
Борьба с этими проблемами в целом ограничивается стандартными мерами безопасности. “Поскольку информация, которая хранится на мобильных съемных накопителях, обычно включает конфиденциальные данные, — признает технический директор компании Imation в Европе Джордж Пьюрио, — то шифрование важной информации является основным элементом политики безопасности. В принципе можно ограничить или полностью запретить использование незнакомых устройств в сети и ИТ-системе компании. В любом случае, желательно подключить и процедуры синхронизации, криптографию “на лету”, авторизацию и идентификацию пользователей”.
Еще один класс проблем для модулей внешней памяти — это уязвимость для заражения вредоносным кодом. Причем они являются легким источником заражения уже для самой операционной системы. “Связано это с “замечательной” особенностью определения внешних устройств памяти ОС Windows, — уточняет ситуацию технический специалист Symantec в России и СНГ Кирилл Керценбаум, — на них распространяются правила, которые мы привыкли видеть для CD/DVD-приводов и всегда считали очень удобными, т. е. автоматический запуск какого-либо приложения при подключении устройства. Именно этим и пользуются авторы вредоносного ПО, ведь достаточно лишь скопировать на съемный носитель, например, exe-файл, а все остальное уже сделает сама Windows”.
При этом специального антивирусного ПО для данного вида устройств не существует, с этой задачей без проблем справляются стандартные антивирусные продукты, однако некоторые из них могут работать с внешними модулями памяти более эффективно, считает технический директор Eset Software Григорий Васильев, например запрещать с них автоматический запуск приложений, блокировать операции записи-чтения или ограничивать пользователей в эксплуатации только определенных типов присоединяемых устройств памяти.
Стоит обратить внимание и на угрозы ИТ-системе компании. Повсеместное использование флэш-накопителей, устройств iPod делает их хорошим инструментом для скрытого проникновения зловредного ПО (malware/spyware) в ИТ-системы. Таким образом, под угрозой оказываются все компьютеры предприятия, оснащенные USB-портом, уверен инженер по безопасности Check Point Алексей Андрияшин. Возможность копирования огромных объемов конфиденциальных корпоративных данных на многочисленные съемные носители создает серьезный риск не поддающейся обнаружению утечки данных.
Тотальная защита
Самый простой вариант защиты переносимой на флэшке информации — пароль для идентификации пользователя. Обычно программы такого рода (к примеру, JetFlash Elite), поставляются практически на всех модулях памяти “по умолчанию”, но пользователи часто их не активируют, считая эти меры безопасности ненужными, несмотря на то что пользователи могут задать свой собственный пароль, который оградит USB-устройство от несанкционированного доступа, автоматически блокируя его при введении неправильного пароля при определенном числе попыток. В накопителях TDK TRANS-IT даже есть специальная система подсказок для того, чтобы владелец мог вспомнить свой пароль.
В этой связи очень правильное решение принято в SanDisk, которая выпустила флэш-накопители Cruzer Enterprise с набором программных ключей RSA SecurID, разработанных компанией RSA. Здесь программа двухуровневой аутентификации действует жестко — чтобы только запустить систему Cruzer Enterprise, пользователю в обязательном порядке необходимо создать сложный пароль из латинских строчных и прописных букв, а также цифр. Если этого не сделать, устройство памяти просто не работает. А за счет одновременного использования шифрования и парольной защиты в случае утери накопителя несанкционированный доступ к данным многократно усложняется.
Кроме того, можно отметить и систему защиты компании Elecom, которая использует свою систему идентификации паролем PASS (Password Authentication Security System), объединяющую несколько методов защиты информации. Как можно подумать, глядя на название, накопитель использует защиту данных паролем, однако это не совсем так — кроме всего прочего, методы защиты флэш-накопителя позволяют владельцу определять, на каких компьютерах разрешено просматривать данные. Таким образом, если пользователь потеряет свою PASS-флэшку и кто-то попытается считать информацию на неавторизованном компьютере, данные будут для него нечитаемыми.
Безусловно, защита флэш-памяти паролем или шифром — это только часть общей системы безопасности мобильных устройств у корпоративных пользователей. Опрошенные нами эксперты признаются: желательно, чтобы накопители поставлялись с серверным ПО управления (SanDisk Central Management & Control и др.), которое предоставляет администраторам возможность конфигурировать и контролировать устройства на протяжении всего их жизненного цикла, в случае пропажи накопителя информация не пропадает, поскольку системный администратор может выдать пользователю новый с восстановленными по сети пользовательскими данными.
В этой связи интересно отметить несколько наиболее типичных решений, которые можно встретить на рынке уже сейчас. К примеру, Samurai — флэшка с системой уничтожения записанной на ней информации, которая активируется при попытке несанкционированного доступа. К слову, для исключения возможности вскрытия данных методом выпаивания и разбора устройства, все данные аппаратно шифруются микроконтроллером, причем Samurai не требует дополнительного ПО или драйверов, поэтому его можно брать с собой и использовать на любых компьютерах. Работать с такими устройствами легко: при подключении к USB-интерфейсу компьютера необходимо ввести пароль, который пользователь устанавливает сам: если код введен неправильно шесть раз, происходит полное уничтожение информации. Отметим, что пароль вводится на самом устройстве, что делает бесполезным его перехват с помощью различных программ, и самое главное не остается никаких следов пароля на компьютере. Кстати, существует и специальный “пароль под принуждением” — после его однократного ввода все данные вроде бы доступны и файлы открываются, но запрещено их копирование на компьютер, а через несколько минут вся информация оперативно уничтожается.
Аналогично действует ПО и на Ironkey Secure Flash Drive — функциональными особенностями этой флэшки являются металлический корпус, надежно защищающий чип памяти от физического воздействия, возможность шифрования данных методами аппаратной защиты и самоуничтожение информации на носителе после десятой неудачной попытки подбора пароля (кстати, их число можно уменьшить). Вместе с этим корпоративным пользователям может подойти и решение Pico Drive ST от компании Greenhouse, которое позволит свести неприятные последствия в подобных ситуациях к минимуму — USB-ключ использует аппаратное 256-битное AES-шифрование данных, которое заставит повозиться любого, тем или иным способом “нашедшего” накопитель. Кроме того, эту флэшку можно использовать в качестве электронного ключа — например, для получения доступа к данным на компьютере или запуска программ. Примечательно, что Pico Drive ST совместим с игровой консолью PlayStation 3, а также поддерживает технологию кэширования актуальных данных ReadyBoost в Windows Vista.
Интересным решением в виде персонального компактного сейфа является Pin Pad USB Stick — это флэш-накопитель, оснащенный небольшой числовой клавиатурой для ввода пароля доступа к данным. Для защиты информации нужно установить пароль длиной не меньше 4 и не больше 10 цифр, причем если пароль введен неверно, все данные на накопителе блокируются. Устройство можно использовать для хранения персональной информации — к примеру, карт переменных кодов для управления банковскими счетами, сканированных копий важных документов и т. д.
К слову, некоторые устройства оснащаются кроме встроенного ПО миниатюрным сканером отпечатков пальцев (как у i-Disk Touch S660 Databank), на рынке корпоративных пользователей это уже далеко не экзотика. Так, решение от компании BioMETRIX под индексом SmartSTIK позволяет обеспечивать конфиденциальность данных именно подобным способом — доступ к информации, записанной на флэш-накопителях, можно получить только с помощью сканера отпечатков пальцев, размещенного на устройстве. Такой подход к решению проблем безопасности очень удобен, ведь пользователю не нужно придумывать и запоминать пароли, а затем беспокоиться, что их кто-нибудь узнает. Кроме того, такая реализация является аппаратной и не нуждается в драйверах или дополнительном ПО.
Отметим и изделия компании MXI Security, которая специализируется на решениях с мощной защитой данных — ее флэш-накопители Stealth MXP, выполненные в металлическом корпусе, весьма мало подвержены механическим повреждениям. В случае пропажи такой флэшки владельцу не придётся особенно переживать, что его данные попадут в чужие руки: доступ к ним можно получить лишь пройдя проверку биометрическим сканером, который при транспортировке прячется внутрь корпуса Stealth MXP (кроме этого пользователь может добавить защиту данных с помощью пароля). Интересно, что на одном накопителе свои раздельные безопасные зоны могут создавать до пяти пользователей.
Еще одно интересное решение предлагает компания NERO — продукт АБС EF, который представляет собой высокоскоростное USB запоминающее устройство для хранения любого типа информации с возможностью мгновенного физического уничтожения носителя, причем, как отмечают представители компании-производителя, данные, содержавшиеся на носителе, восстановлению не подлежат. Интересно, что использование АБС EF в качестве носителя информации полностью идентично другим флэш-накопителям, а вот для уничтожения информации на носителе емкостью 4--16 Гб (масса — всего 50 г) необходимо отключить изделие от USB-порта компьютера, сдвинуть боковую защитную крышку, переключить тумблер активации под гарантийной наклейкой, и, вуаля, – уничтожение данных произойдет через 2--3 с, о чем будет свидетельствовать свечение красного индикатора. Без сомнения, это решение найдет своих потребителей, особенно в среде специалистов по информационной безопасности и компьютерных энтузиастов, а также просто людей, обеспокоенных сохранением конфиденциальности своих данных.