20.09.2003

Способы защиты конфиденциальной информации

ФинГазета Экспо, №9, сентябрь 2003 г., Наталья Боровикова

Угроза похищения корпоративной информации возрастает с каждым годом. Информация, хранимая в электронном виде, очень просто копируется, а современные операционные системы и средства обработки данных стали настолько сложны, что ее защита становится нелегкой задачей. Однако ценность любой информации состоит именно в ее использовании в повседневной работе, что повышает опасность ее утечки.

Как свидетельствуют аналитики, в утечке данных необязательно повинны конкуренты компании, решившиеся, например, нанять хакеров для взлома ее информационной системы. Гораздо чаще, в 50-70% случаев, «слабым звеном» оказываются неблагонадежные сотрудники компании, действующие в своих интересах. Это означает, что главной проблемой, которую нужно решить при хранении и использовании важной информации, является ее защита от посторонних глаз внутри самой компании.

Обычно наиболее ценными данными являются бухгалтерские и финансовые показатели, складская отчетность, а также документы, связанные с финансовыми потоками компании, и сведения о заказчиках и поставщиках. Если компания небольшая, со штатом до 50 человек, то с такими данными работают генеральный директор, финансист, главный бухгалтер, а также кладовщик и менеджер, общающиеся с поставщиками или заказчиками. В реальной жизни в условиях небольшой компании этих людей всего двое-трое. Остальным в повседневной работе такая информация не нужна, а при необходимости они могут ее запросить у сотрудников, занимающих соответствующие должности.

На файловом сервере небольшой компании в основном содержатся как обычные данные, так и конфиденциальные. Нередко считается, что защита конфиденциальных может осуществляться посредством разграничения доступа с помощью системы паролей, т.е. для доступа к конфиденциальной информации необходимо ввести допол нительный пароль. Однако подлинной безопасности такая защита не гарантирует. Во-первых, при применении паролей данные все равно хранятся на дисках компьютера или сервера в незащищенном виде. Во-вторых, пароли являются крайне ненадежным методом защиты. Их можно украсть, подсмотреть, перехватить. Не секрет, что пароли легко взламываются. Кроме того, если у одного человека несколько паролей (например, для входа в корпоративную сеть, доступа к какой-либо из программ «1C» и к почтовому ящику), он предпочтет либо записать их, либо пользоваться одним и тем же для всех программ, что с точки зрения безопасности просто недопустимо.

Еще одна проблема — хранение данных в открытом виде. Даже если к информации обеспечен доступ только тех сотрудников, которые имеют на это право, этого недостаточно, поскольку в этом случае ее можно украсть, например, с помощью троянских программ.

Распространено мнение, что физический доступ посторонних к жестким дискам компьютеров и серверов, содержащим конфиденциальные данные, можно исключить с помощью организационных мероприятий. На самом деле известны примеры, когда, несмотря на все меры предосторожности, сотрудники компании под давлением были вынуждены назвать злоумышленникам пароли или же особо ценная информация просто похищалась путем изъятия жесткого диска. Если поместить его на другой компьютер, то не будет никаких препятствий, чтобы прочитать секретную информацию. Становится очевидным, что для обеспечения безопасности данных также необходимо шифрование на случай изъятия жесткого диска.

Таким образом, перед небольшими компаниями задача защиты конфиденциальной информации сводится к следующему:

обеспечить доступ к информации только тем сотрудникам, которые имеют на это право (обычно в небольшой компании их не более десяти человек);

защитить эту информацию от злоумышленников извне, в том числе с помощью шифрования;

применять более надежные средства построения защиты, чем пароли.

Для надежной защиты информации следует использовать программно-аппаратные комплексы, основанные на системах с использованием средств шифрования. Один их таких комплексов - Secret Disk, разработанный компанией Aladdin. Недавно появилась его новая версия, работающая под операционными системами Microsoft Windows 2000 и ХР.

Secret Disk - системы защиты информации для руководителей, менеджеров, бухгалтеров, аудиторов, адвокатов - для всех, кто заботится о защите личной или профессиональной информации. Он просто необходим мобильным пользователям. Именно они подвергаются наибольшему риску утечки конфиденциальной информации.

Принцип защиты данных при помощи системы Secret Disk заключается в создании на компьютере пользователя (или сервере компании) защищенного ресурса - секретных дисков, предназначенных для безопасного хранения конфиденциальной информации. В отличие от других подобных продуктов защищенный ресурс необязательно должен представлять собой раздел жесткого диска компьютера. Это может быть и съемный носитель, например ZIP-дискета или становящиеся все более популярными flash-драйвы. При сохранении данные в защищенных ресурсах шифруются. Доступ к этой информации и ее расшифровка осуществляются только после подсоединения к USB-порту компьютера электронного ключа eToken. Таким образом, информация, защищенная системой Secret Disk, доступна только ее владельцам. Однако, если информация, которая хранится на этом защищенном ресурсе, необходима нескольким его коллегам, владелец может дать им право этой информацией пользоваться. Для этого им необходимо только иметь собственный электронный ключ. Для других пользователей защищенный ресурс будет не виден и не доступен. Более того, они могут даже и не догадываться о его наличии.

Устанавливая систему Secret Disk, пользователь может быть уверен в сохранности защищаемых данных. Конфиденциальная информация не может быть просмотрена, скопирована, уничтожена или повреждена другими пользователями, а также использована посторонними при ремонте или краже компьютера, при утере диска.

Secret Disk поддерживает такие популярные программы, как Word и Excel, поэтому проблем с зашифровкой текстовых файлов не возникает. Во время работы пользователю одновременно доступна информация всех остальных логических дисков компьютера, что позволяет шифровать данные любого из них. Программа совместима со средой Windows, а ее установка занимает около 10 мин.

Secret Disk New Generation представляет собой новейшую разработку компании Aladdin. Ядро Secret Disk NG не содержит встроенных шифровальных средств. Для защиты конфиденциальных данных используются стандартные средства (криптопровай-дер), входящие в состав Microsoft Windows 2000/XP. Пользователь сам выбирает алгоритм шифрования информации из криптосредств, встроенных непосредственно в операционную систему.

Если защищенный ресурс используется не только владельцем, но и еще несколькими пользователями, доступ разграничивается на уровне операционной системы. Иными словами, создатель защищенного ресурса может средствами операционной системы по своему усмотрению добавить в список пользователей ресурса тех участников сети, которым необходим доступ к этим ресурсам. Для остальных пользователей сети защищенные ресурсы останутся не доступны.

При подключении зашифрованных дисков после перезапуска компьютера сетевые ресурсы, созданные на них до перезагрузки, автоматически восстанавливаются. Автоматическое восстановление данных - важная функция продукта. На практике это выглядит следующим образом. Предположим, у главного бухгалтера предприятия имеются отчеты в виде файлов Microsoft Excel. Файлы содержат сведения о финансовых показателях и потоках и являются конфиденциальными. Однако доступ к ним необходимо обеспечить также и финансовому, и генеральному директору компании. В этом случае на компьютер бухгалтера устанавливается Secret Disk NG. Бухгалтер получает аппаратный ключ eToken размером с брелок, создает защищенный ресурс, где сохраняет секретные файлы, и с помощью средств операционной системы дает право пользоваться этими файлами обоим директорам. Как директор, так и бухгалтер для доступа к этой информации должны подсоединить ключ и набрать на клавиатуре его PIN-код. Компьютер «опознает» пользователей и владельцев информации и допуска ет их к ней. Файлы открываются уже в расшифрованном виде, а при сохранении снова зашифровываются. Одно из несомненных достоинств продукта заключается в том, что остальные пользователи корпоративной сети даже не видят этого скрытого защищенного ресурса. А если все же компьютер попадет в чужие руки, без ключа eToken информацию расшифровать и, следовательно, воспользоваться ею все равно не удастся.

Если информация должна быть в единоличном пользовании, можно воспользоваться персональной версией Secret Disk NG. Например, это удобно в случае с тем же ноутбуком: даже если он будет потерян или украден, за раскрытие информации опасаться нечего. При желании можно приобрести не только любую версию Secret Disk, но и ноутбук, уже защищенный таким способом (с предустановленным Secret Disk NG).

Итак, система Secret Disk NG позволяет разграничивать доступ к секретной информации, скрывать ее от посторонних, шифровать на случай кражи или проникновения троянских вирусов, а также защищает не только разделы жесткого диска, но и съемные носители. Кроме того, для доступа пользователя ему необходимо, во-первых, иметь электронный ключ, а во-вторых, знать PIN-код ключа, что увеличивает защищенность информации и дает гарантию, что для посторонних она будет не доступна.