О конфиденциальности корпоративных сетей. Часть 2
Статья с упоминанием разработок компании "Аладдин Р.Д."
В статье приводятся данные о сборе прикладным программным обеспечением информации о пользователях корпоративных АРМ, используемом ими программном обеспечении (ПО), аппаратных средствах, структуре сетей, обрабатываемых документах и многом другом. Указывается на отсутствие законодательного регулирования сбора телеметрической информации производителями ПО и практики устранения подобных уязвимостей.
Ключевые слова: прикладное программное обеспечение, сбор пользовательских данных, передача пользовательских данных, передача телеметрической информации, инфраструктура, риски информационной безопасности
Авторы статьи
Георгий Георгиевич Петросюк, директор департамента информационных технологий ФГБУ (petrosyukgg@nrczh.ru)
Иван Сергеевич Калачев, начальник отдела департамента информационных технологий ФГБУ "Национальный исследовательский центр "Институт имени Н. Е. Жуковского (kalachevis@nrczh.ru)
Андрей Юрьевич Юршев, кандидат технических наук, ведущий эксперт направления "Защита АСУ ТП" ГК "ИнфоВотч" (ay@infowatch.com)
В предыдущей статье 1 мы рассказали о том, что многие основные производители ПО по своему усмотрению собирают телеметрическую информацию и информацию для улучшения качества своих продуктов. Сделав акцент на системном программном обеспечении, мы указали, что и производители прикладного ПО столь же активно применяют этот подход. Теперь расскажем об этом более подробно, но прежде предлагаем вспомнить, для чего осуществляется сбор телеметриии пользовательских данных.
Технологии сбора и обработки больших массивов данных были разработаны примерно в 2010 году для применения их в процессе принятия решений для внутренних целей крупных компаний. Впоследствии данные технологии широко распространились как на массовый рынок, так и в коммерческий сектор. Появились компании, деятельностью которых является исключительно сбор и анализ пользовательских данных, полученных из различных источников (телеметрия операционных систем, прикладного ПО, полученные из социальных сетей и иных web-ресурсов пользовательские данные и пр.), для формирования индивидуальных предпочтений пользователей и перепродажи этих предпочтений заинтересованной стороне (поставщикам услуг, товаров и пр.). Последняя, в свою очередь, также применяет данную технологию, и коррелирует все полученные данные для формирования портрета потенциального клиента. Наверное, самой известной из таких компаний в настоящее время является скандальная Cambridge Analytics.
Подобные технологии имеются и в распоряжении специальных служб иностранных государств, но используются они ими явно не для продвижения продуктов и услуг.
Итак, как мы уже упоминали, одним из источников пользовательских данных является прикладное ПО, установленное в корпоративных сетях. Рассмотрим на нескольких примерах, какие данные могут быть собраны в корпоративных сетях и какие сведения о таких сетях могут быть получены в случае использовании данного программного обеспечения при условии принятия пользователями сетей лицензионных соглашений и соглашений о конфиденциальности с производителями программных продуктов.
Нужно отметить, что сбором и анализом данных своих клиентов занимается большинство компаний-производителей программного обеспечения, и их полный перечень отнюдь не ограничивается приведенными ниже примерами.
Начнём с известной компании ABBYY и ее очень качественного и популярного программного продукта FineReader, установленного, пожалуй, в большинстве российских организаций на корпоративных АРМ, и включенного в реестр отечественного ПО.
Оказывается, оно автоматически "считает", что каждый установивший его пользователь согласен участвовать в программе улучшения качества продукции ABBYY и устанавливает соответствующий параметр в настройках по умолчанию (рис. 1.).
Найти точное описание собираемых в рамках данной программы данных нам, к сожалению, не удалось ни в документации на ПО, ни на официальном сайте разработчика. Однако, в политике конфиденциальности говорится о том, что за информация собирается компанией при использовании данного ПО (выдержка из политики представлена на рис. 2.). Как видно из данного перечня, в него входит как IP-адрес устройства, так и техническая информация об устройстве, позволяющая, как минимум, идентифицировать, в какой сети и на каком АРМ установлено ПО ABBYY.
Интересно, что компания ABBYY может использовать собранные таким образом данные и для "отслеживания потенциально незаконных действий", при этом нигде не раскрывая, что именно понимается под таковыми в данном случае. Также компания нигде не указывает, обязуется ли она выполнять законодательство Российской Федерации в области безопасности информации, зато поясняется, что по всем вопросам касательно защиты персональных данных (про другие категории данных речи вообще не ведется) следует обращаться на Кипр.
Идём дальше. Казалось бы, такое совсем безобидное корпоративное ПО, как справочно-правовая система "Консультант Плюс", по умолчанию собирает и отправляет на свой сервер в Интернет расширенную диагностическую и анонимную техническую информацию (рис. 3), при этом нигде не раскрывая, что же конкретно собирается. Об этом не сказано ни на официальном сайте, ни в документации на программное обеспечение.
Хорошо, что эти компании хотя бы не запрещают использовать своё ПО в том случае, если мы все же обнаружили, что оно собирает данные о нашей инфраструктуре, и отключили эту функцию. Однако другие разработчики, собирая и передавая персональные данные пользователей своих продуктов (в том числе и работников наших организаций) третьим лицам, прямо рекомендуют прекратить использование своего продукта в случае несогласия конечного пользователя со сбором и передачей этих данных. На рис. 4 представлена выдержка из "Лицензионного соглашения с конечным пользователем и условий использования антивирусного программного обеспечения Avira, то есть средства защиты информации!
А теперь о самом распространённом офисном пакете – Microsoft Office, который вслед за операционной системой того же производителя, рассмотренной в первой части нашего исследования, передает определённые данные компании-разработчику. Однако в отличие от ОС Win dows, применительно к офисному пакету Microsoft не конкретизирует, какие именно данные передаются, ограничиваясь лишь сухой выдержкой:
- данные о подключении и конфигурации (например, используемая версия Office); имя, версия и издатель надстроек, установленных и используемых в Office;
- сведения о готовности Office к обновлению и о наличии факторов, которые могут препятствовать получению обновлений;
- сведения об успешности установки обновлений;
- базовые отчеты об ошибках: данные о работоспособности программ Office на вашем устройстве, например, в случае зависания или сбоя программы, такой как Microsoft Word;
- критически важные данные об использовании собираются для обеспечения надлежащей работы продукта;
- дополнительные сведения о подключении и конфигурации Office, кроме собранных на базовом уровне…
Как видим, из данного перечня совершенно не очевидно, какую информацию о корпоративной сети может передавать разработчику данный программный продукт. Мы можем лишь догадываться о возможностях телеметрии Office благодаря существованию специального продукта – Office Telemetry Agent, который, по словам разработчика, облегчает ИТ-специалистам процедуру обновления установленной в корпоративной сети версииOffice. Данные собираются от конечных пользователей с помощью функций телеметрии, встроенных в приложение. Приведём перечень этих данных:
- имена файлов Office, включенные в список недавно использованных документов;
- названия надстроек и решений, взаимодействующих в рамках Office;
- сведения о системе, такие как имя пользователя и имя компьютера;
- наличие у документа определенных метаданных для определенного файла, таких как макросы VBA, подключения данных или элементы ActiveX;
- наличие у документа проблем с совместимостью или критических ошибок во время использования;
- как файлы и решения Office используются на компьютере пользователя (данные этого типа, собранные агентом, называются данными сеанса);
- данные о недавно открытых документах Office:
-
- имя файла;
- формат файла (расширение);
- всего пользователей;
- номер Office;
- имя пользователя;
- имя компьютера;
- место;
- размер (Кб);
- автор;
- последняя загрузка;
- название;
- версия Office;
- иные сведения.
Как видно из приведенного перечня, телеметрические возможности этого приложения достаточно широки, и нет никакой гарантии, что все эти данные или часть из них не принадлежат к категории "критически важные данные об использовании", сбор которых официально задекларирован (см. перечень данных, собираемых пакетом Microsoft Office). Также не существует гарантий, что в пункт «Иные сведения» не входит содержание обрабатываемых офисным программным обеспечением документов.
К сожалению, внедрение технологий "слежки" за пользователями, включая сбор телеметрических данных, на сегодняшний день стало стандартом при разработке приложений. При этом, как было показано выше, некоторые производители даже не считают нужным информировать о данном "качестве" своего программного обеспечения конечных потребителей, за счёт которых, в конечном счете, и существуют. Еще более "мило" выглядят требования производителя прекратить использование своего продукта в случае своего несогласия с фактом сбора информации о себе.
В условиях почти полного отсутствия законодательных ограничений на подобную деятельность, такая позиция выглядит, с точки зрения разработчика, вполне разумной. Зачем информировать пользователей и вселять в них лишнее беспокойство? Возможно, индивидуальный потребитель никогда и не узнает о том, что за ним следят – ведь лицензионные соглашения редко кто читает полностью: они такие длинные, сложные и неинтересные, приведены мелким шрифтом, а их чтение отдаляет момент начала использования так нужного нам ПО!
Корпоративные пользователи тем более не видят необходимости в чтении таких документов, ведь рабочее место уже предоставлено, да и зарплату им платят не за это. Системные администраторы – вот кто устанавливает ПО в корпоративных сетях, они и должны изучать такие соглашения! Но изучают ли? По нашему опыту, системных администраторов в первую очередь интересуют сведения о лицензионной политике, количестве и сроках действия лицензий. Именно за это они несут ответственность вплоть до уголовной, тогда как указанные нами "особенности" ПО и связанные с этим риски обычно остаются вне их внимания.
Кто же остается? Кто должен взвалить на себя эту ношу? Конечно, специалист/подразделение по обеспечению информационной безопасности. Однако таковые имеются далеко не в каждой организации. Либо же их функции формально возложены на тех же системных администраторов.
А указаны ли такие риски в модели угроз и политике информационной безопасности (если, конечно, эти документы имеются в организации)? Да и существуют ли вообще средства защиты от такой "заботы" о потребителях программного обеспечения?
Вот и получается, что, казалось бы, безобидная установка какого-либо приложения на отдельные корпоративные средства вычислительной техники или централизованное развертывание прикладного программного продукта в корпоративной среде способно моментально положить начало сбору и передачи информации об инфраструктуре и пользователях корпоративной сети за охраняемый (возможно) периметр, причем "для нашего же блага" – ведь речь идёт об улучшении качества используемого нами ПО! "Блага", вследствие которого абсолютно неизвестные нам лица из числа персонала компаний-разработчиков получают всю необходимую информацию для организации вторжения в наши сети. А кому ещё попадают в руки эти данные? Где гарантии, что и документы, обрабатываемые с помощью таких "благодетелей" продуктов, никому не переданы для "улучшения их качества".
Может быть, пора законодательно обязать производителей прикладного программного обеспечения корпоративного уровня, зачастую являющегося отечественным или входящим в реестр отечественного ПО, ещё на этапе приобретения и установки такого программного обеспечения, в обязательном порядке указывать о наличии функций по сбору телеметрической, диагностической или иной информации, необходимой для улучшения качества ПО, при этом в полном объеме указывая категории собираемых данных. Если же потребитель приобрел какое-либо программное обеспечение, он должен иметь возможность самостоятельно решать, давать ли ему добро на сбор всей этой информации и её передачу за пределы корпоративной сети.
По всей видимости, следует подумать и о внесении в соответствующие нормативные документы обязательств для предприятий учитывать указанные риски? Тогда и соответствующий рынок средств защиты информации появится, и производители ПО будут вынуждены скорректировать свою политику в данной сфере.
Все части статьи "О конфиденциальности корпоративных сетей"