27.12.2005

Приговор для инсайдера – комплексная защита баз данных

Банковские технологии, № 12/2005, Ника Комарова

Информация, относящаяся к категории конфиденциальной, сегодня стала фактически денежным эквивалентом, причем это – финансовый актив. Она может годами работать на того, кто стал её незаконным владельцем и против того, кто стал жертвой этой утечки. Информацию, безусловно, надо защищать, а для этого нужно знать, откуда исходит основная угроза.

Бурное развитие информационных технологий естественным образом проникло во все отрасли экономики, и даже условно «закрытый» сектор банков и кредитно-финансовых организаций не стал исключением. Долгое время банкиров пугали хакерами, вирусами, «троянами», «червями» и эта активная пропаганда сделала своё дело: банки действительно достаточно надёжно защищены от внешних угроз, и более того, значительная часть интранета банков (например, расчетная система) полностью изолированы от сети Интернет, что минимизирует внешние угрозы. Однако, по-прежнему центральные СМИ регулярно печатают подробные материалы об инцидентах, связанных с информационной безопасностью, утечкой конфиденциальных данных и атаками на банковские сети. Вспомним недавнее сообщение, активно растиражированное банковскими и другими изданиями о краже базы данных Центробанка РФ. Скандал вокруг ЦБ РФ дошел до ушей Думы, которая обязала Генпрокуратуру изучить обстоятельства кражи и наказать виновных. Однако, на поверку это оказалось не так легко. Источники в Банке России, как сообщает RBC Daily, опровергают слухи о взломе расчетной системы хакером, как предполагалось ранее: по их данным, в утечке виноват кто-то из технического персонала ЦБ.

Таким образом, в данном случае, как и во многих других – преступником скорее всего является сам сотрудник банка, так называемый, «инсайдер». Чем он опасен? Прежде всего, тем, что знает технологии работы банка, «слабые места» в его защите или административно-организационные «пробелы» изнутри. Опять же, даже если не инсайдер является инициатором злонамеренного действия, то кто как не он – лучший сообщник и фактически гарант успешно проведенной атаки или кражи? Кроме того, риски злоупотребления внутри банковской системы со стороны технического персонала, того же администратора, или его непрофессиональные действия могут нанести серьёзный ущерб всей информационной инфраструктуре. И это также «подрыв» изнутри.

Налицо необходимость смены модели угроз. Борьба против внутреннего врага сегодня должна стать важнейшим приоритетом в построении системы информационной безопасности в банке. Не случайно, недавний доклад крупнейшей консалтинговой компании Gartner об исследовании текущего состояния сферы банковских технологий содержал ряд тезисов о том, что нынешние методы защиты финансовой информации предоставляют мошенникам богатые возможности для совершения преступлений и, в частности, одной из основных проблем до сих пор остаётся вопрос предоставления доступа к критичным ресурсам с помощью авторизации  типа «логин-пароль».

Предположим, что перевес модели угроз с внешней на внутреннюю, исходя из примеров недостаточной защищенности банковских ресурсов, будет очевиден, в том числе, и для топ-менеджмента банков. Эти изменения, соответственно, будут закреплены в нормативно-правовых и организационно-распорядительных документах, что является отдельным вопросом для рассмотрения (на сегодняшний день, по мнению многих участников рынка банковских услуг,существующие стандарты не позволяют банкам организовать защиту на должном уровне[1]). Далее, неизменно возникнет проблема выбора технологического обеспечения системы информационной безопасности, от которого, в конечном итоге, будет зависеть надёжность банковской системы, репутация банка и его позиция на рынке. 

Кто стучится в дверь ко мне?

Начнём сначала. Чтобы  понять, кто пытается войти в систему, обычно используется некий уникальный признак, который  отличает пользователя (к примеру, его пароль). Опознание пользователя на основе пароля – пример так называемой однофакторной аутентификации. Понятно, что проверка пароля – не гарантия надежности, поскольку невозможно персонифицировать пользователя и ограничить его права.  

Современные методы аутентификации основываются на множественных факторах (существует и широко применяется двухфакторная аутентификация, известны примеры трехфакторной аутентификации).  Например, двухфакторная аутентификация пользователя проводится не только на основе того, что пользователь знает (пароль), но и того, что он имеет (какой-либо персональный идентификатор). В качестве такого идентификатора часто выступает, так называемый, «токен» - электронный ключ для доступа к корпоративным ресурсам. Замечу, что данное средство аутентификации может выпускаться также и в виде смарт-карты, как например, широко распространенный на российском рынке eToken от российской компании Aladdin. 

В форм-факторе смарт-карты это аппаратное устройство аутентификации может выступать в качестве единой корпоративной карточки, служащей для визуальной идентификации сотрудника банка (с печатью фото), для доступа в помещения, для входа в компьютер, в сеть, для доступа к защищенным данным, для защиты электронных документов (ЭЦП, шифрование), для установления защищенных соединений (VPN, SSL) и проведения финансовых транзакций. Отмечу, что в 2005 г. модель eToken PRO была названа лучшим продуктом в области информационной безопасности и получила национальную отраслевую премию «Зубр». 

Важным преимуществом eToken является возможность работы со всеми сертифицированными российскими криптосредствами, поэтому многие крупные заказчики выбрали его своим корпоративным стандартом. Сегодня практически все продукты по информационной безопасности поддерживают смарт-карты и USB-ключи eToken. Более 200 решений в области информационной безопасности,  интеграция  с платформами ведущих IT-вендоров показывает бесспорные конкурентные преимущества eToken в своём сегменте рынка ИБ. Практически все разработчики СКЗИ включили поддержку eToken в свои продукты (Крипто-Про, Сигнал-КОМ, МО ПНИЭИ, ЛанКрипто, Инфотекс и другие). Сертифицированные ключи eToken PRO вошли в состав поставки сертифицированной MS Windows XP.

eToken стал первым и пока единственным на рынке аппаратно-программным средством для аутентификации пользователей в автоматизированных системах, обрабатывающих конфиденциальную информацию, что подтверждено сертификатом Гостехкомиссии РФ. 

Если банковская операция осуществляется вне офиса, с чужого компьютера или PDA-устройства, то для строгой аутентификации пользователя можно использовать электронные ключи с генератором одноразовых паролей eToken NG-OTP (One Time Password). Кроме обычных функций, электронный ключ с технологией OTP осуществляет генерацию одноразового пароля пользователя и отображает его на дисплее устройства. Вместе с OTP-PIN-кодом пароль вводится пользователем-владельцем с клавиатуры компьютера или PDA-устройства. При успешном сравнении значения с тем, что генерируется на сервере, считается, что аутентификация пользователя завершилась, и он получил право доступа к необходимым данным.   

Почему токены? 

Gartner назвала USB-токены лучшим инвестиционным вложением в обеспечение безопасного доступа к данным и осуществление безопасных транзакций в 2005 году. Это и понятно: электронные USB-ключи полифункциональны и используются далеко не только для обеспечения строгой двухфакторной аутентификации пользователей при их подключении к защищенным информационным ресурсам. Они применяется для безопасного хранения ключевой информации, профилей пользователей и других конфиденциальных данных, для аппаратного выполнения криптографических вычислений и работы с асимметричными ключами и сертификатами Х.509. Такие устройства рекомендуются для использования в PKI-приложениях, приложениях, поддерживающих технологии смарт-карт и, в частности, в банковских и корпоративных системах, требующих строгой  аутентификации пользователей и безопасного хранения конфиденциальной информации.  

Плюс аппаратных средств аутентификации, прежде всего в том, что пароль надежно хранится в защищенной памяти устройства. Чтобы воспользоваться правами какого-либо пользователя для доступа к данным, злоумышленнику не достаточно завладеть токеном – необходимо еще и знание PIN-кода, длина которого практически не ограничена. 

Применение аппаратных средств аутентификации обеспечивает надежное хранение паролей, цифровых сертификатов и ключей шифрования пользователя. 

Естественно, в масштабе банка, где число пользователей насчитывает ни одну сотню, всеми средствами аутентификации необходимо централизованно управлять. Это немаловажно, особенно, если учесть, что многие банки обладают гетерогенными, разветвлёнными сетями, управлять средствами аутентификации в которых «вручную» практически невозможно. Для снятия этой проблемы компания Aladdin вывела на рынок универсальную систему eToken TMS (Token Management System).  

Этот продукт является связующим звеном между пользователями, их средствами аутентификации, security-приложениями и политикой безопасности (организационными правилами), принятой в банке. eToken TMS переводит административный контроль банковской информационной инфраструктуры на качественно новый уровень. Простое и удобное управление всеми средствами аутентификации, прозрачность ИТ-инфраструктуры и высокий уровень безопасности – основные преимущества eToken TMS, продукта пока не имеющего аналогов на российском рынке.

Данные были – данные сплыли? Возрастающая ценность информации сегодня определяет ряд жестких критериев к системам, обеспечивающим её безопасность. Базы данных, файловые архивы, бизнес-приложения и их данные могут иметь разный уровень «секретности». В свою очередь, сотрудники банка также могут обладать разными полномочиями и разной степенью лояльности. Лояльный сотрудник не имеет намерений дискредитировать свою компанию или воспользоваться её ресурсами в личных целях. Однако, при защите базы данных различными паролями (часто для каждого ресурса  БД предусмотрен свой пароль), причем как можно более качественными, ведь степень защиты напрямую зависит от этого критерия пароля, может сложиться обратная ситуация.  Попробуйте запомнить пароль Rtv23k#ldЬГЖ09к%~KL~Rr/. А теперь представьте, что таких паролей у Вас семь. Во-первых, это сложно запомнить. Во-вторых, легко ошибиться при вводе. В-третьих, можно, как вариант, записать на бумагу, но тем самым полностью свести на нет все усилия по защите. Смарт-карта же или USB-ключ - это осязаемый носитель, который выдаётся корпоративному пользователю (в нашем случае – сотруднику банка) под личную подпись, после чего все действия, производимые с помощью этого носителя, будут приписаны именно этому пользователю и ответственность за них также придётся нести ему. Цифровой сертификат X 509, хранящейся в защищенной памяти электронного ключа или смарт-карты, позволяет реализовать авторизованный и контролируемый доступ к БД банка. Во-первых, пользователь не сможет получить доступ к данным, не обладая соответствующим сертификатом, записанным в защищенную память eToken. Во-вторых, все действия пользователя фиксируются, что позволяет не только находить виновного в случае инцидента, но и проводить профилактику нарушений службой безопасности банка. В случае если пользователь неоднократно пытается получить доступ к данным, на просмотр которых у него нет прав, он попадает в категорию нелояльных пользователей и на него могут быть наложены административные санкции. Компания Aladdin, используя встроенные в СУБД Oracle средства защиты информации, разработала ПО для клиентских станций «Защищённый клиент для Oracle» с применением eToken для авторизации и аутентификации пользователя, шифрования передаваемой по сети информации и хранения сертификатов пользователей. Механизм двухфакторной аутентификации при доступе к СУБД позволяет на порядок повысить уровень информационной безопасности, проводить постоянный аудит всех действий в системе, а также полностью исключить перехват идентификационной информации пользователя потенциальным злоумышленником. Установка «Защищенный клиента для Oracle» не требует внесения изменения в оригинальное ПО банка, что является важным преимуществом решения Не так давно специалистами Aladdin был разработан новый функционал решения «Защищённый клиент для Oracle» для усиленной защиты не только от рядовых сотрудников компании, но и от администраторов тех же баз данных, обладающих значительно большими правами и потому представляющих большую опасность. Теперь методом селективного шифрования можно зашифровать и сделать недоступными поля базы данных представляющие сферу особого интереса потенциального инсайдера.

Для защиты, а в случае необходимости и сокрытия, баз данных, файловых архивов и бизнес-приложений, хранящихся и обрабатываемых под управлением MS Windows Server 2003/2000/XP, специалистами Aladdin был разработан Secret Disk Server NG. Этот программно-аппаратный комплекс обеспечивает криптографическую защиту от несанкционированного доступа к конфиденциальной информации путём «прозрачного» шифрования в фоновом режиме, одновременно с работой пользователя и абсолютно незаметно для него. Для получения доступа к защищенным данным в продукте Secret Disk Server NG используется двухфакторная аутентификация с помощью электронного ключа eToken. Дистрибутив продукта Secret Disk Server NG не содержит встроенных криптографических средств. Для реализации криптографических преобразований могут применяться быстрые и стойкие криптографические алгоритмы, включая сертифицированные отечественные (КриптоПро CSP 2.0 и Signal-COM CSP).

Secret Disk Server NG позволяет создавать, так называемые, защищенные диски, для каждого из которых могут быть определены индивидуальные сценарии защиты. С подключенным защищённым диском работа ведется точно так же, как с обычным  - практически без снижения производительности. Данные на таких дисках всегда хранятся в зашифрованном виде. Только приложения, выполняющиеся непосредственно на сервере, имеют доступ к зашифрованным данным. Даже в случае изъятия сервера или кражи съемного диска эти данные невозможно использовать. Перешифрование диска выполняется, как одна операция. Не надо сначала расшифровывать данные, тем самым делая услугу инсайдеру, а затем зашифровывать их с новым ключом иили по другому алгоритму.

Важной компонентой программно-аппаратного комплекса Secret Disk Server NG является, так называемая, «красная кнопка» для экстренных действий по блокированию доступа к информации. Как только сервер получит сигнал «тревога» - сама информация станет невидимой. Сигнал может быть подан при нажатии «красной кнопки», радио-брелка или, например, при срабатывании датчиков охранной сигнализации при несанкционированном проникновении посторонних в серверную комнату.

Подведём итоги 

Итак, чтобы организовать эффективную защиту от ошибок или намеренных действий персонала необходимо, во-первых, использовать персональные идентификаторы, реализующие строгую (двухфакторную) аутентификацию при доступе в корпоративную сеть, к базам данных, к защищенным ресурсам, при VPN-соединениях. Во-вторых, необходимо централизованно управлять всеми средствами аутентификации. В-третьих, предоставлять только авторизованный доступ к базам данных, защищенным файловым архивам  и порталам для возможности аудита и профилактики правонарушений. В-четвертых, конфиденциальные данные целесообразно хранить в зашифрованном виде, а доступ к ним для пользователей желательно реализовывать не напрямую, а через приложения. В-пятых, выбранный продукт для защиты конфиденциальной информации, хранящейся в базах данных, должен иметь возможность удалённого администрирования и экстренного блокирования доступа в случае возникновения опасности. И последнее – шифрование данных не должно сказываться на быстродействии и приводить к потере производительности сервера при подключении защищенных дисков.

Итак, не смотря на то, что 100% защиты не существует, сочетание грамотного технического решения и административных регламентов может существенно минимизировать внутренние угрозы, и даже  в случае маловероятной утечки информации – вы сможете найти и наказать виновных.


[1] см. материал RBC Daily «Кража базы данных ЦБ продемонстрировала незащищенность госструктур от «инсайдерских» злоупотреблений».