Доклады, выступления, видео и электронные публикации
Организация применения USB-флешдисков на предприятиях: основные ошибки в обеспечении информационной безопасности
Для владельцев информационных систем USB-флешки связаны с головной болью как источник неизбежного заражения систем вредоносным ПО и практически непредотвратимых утечек.
Основания для такого мнения, безусловно, есть, и очень существенные:
Свойство USB-памяти |
Выгода |
Опасность |
Предназначается для хранения информации и переноса ее с одного ПК на другой. |
В ходе работы организации часто требуется переносить файлы с одного ПК на другой, такая возможность делает рабочий процесс быстрее и эффективнее. |
Невозможно ограничить перенос информации, записанной на флешку, на компьютеры вне организации, возрастает возможность утечки данных из организации. |
Может использоваться на любом или почти любом ПК за счет стандартного интерфейса подключения и отсутствия необходимости установки дополнительного ПО. |
Сотрудник становится мобильнее, имея возможность работать с необходимыми данными не только на своем рабочем месте. |
После работы на непроверенных ПК флешка, а затем и информационная система организации может быть заражена вирусами или другим вредоносным ПО. |
Может применяться как для чтения, так и для многократной записи и удаления файлов. |
Не требуется большого количества расходуемых носителей информации, работа пользователя удобнее, чем в случае с CD. |
Файлы на USB-носителе могут быть несанкционированно удалены или изменены. |
Недорого стоит |
Применение в организации не требует значительных затрат, зачастую сотрудники применяют самостоятельно купленные устройства. |
Пользователи относятся к устройству легкомысленно, используют не только в служебных целях и часто теряют. |
Небольшого размера и веса. |
Удобно в применении и переноске. |
Вынос за пределы организации трудно установить визуально, устройство легко может быть украдено у легального пользователя злоумышленником. |
Получается, что применение флешек на предприятии больше выгодно сотрудникам, чем владельцу предприятия.
Невольно задаешься вопросом, стоит ли комфорт персонала таких рисков?
Если предельно обобщить, то с точки зрения владельца системы проблемы с флешками две: на ней можно унести то, что не следует уносить, и на ней можно принести то, что не следует приносить. Для обеих проблем разработчики средств защиты информации предлагают свои решения.
Решения эти, конечно, различны по качеству и лежащим в основе принципам, однако, хуже другое - ни одно из них не обеспечивает возможности комфортной и в то же время безопасной работы в организации с USB-памятью. В этом легко убедиться, попытавшись оценить, какие именно защитные механизмы применяются, как правило, в СЗИ для обеспечения безопасного использования флешек. Будем исходить из того, что механизмы реализованы в СЗИ правильно и работает СЗИ надежно, рассмотрим только саму суть механизмов, то, на что они направлены, а не как они реализованы.
Опасность |
Механизмы защиты |
Недостатки |
Невозможно ограничить перенос информации, записанной на флешку, на компьютеры вне организации, возрастает возможность утечки данных из организации. |
Установкой различных СЗИ, допускающих применение в информационной системе только строго определенных флешек (по уникальному идентификатору). Настройкой правил разграничения доступа определенных пользователей с определенными флешками. |
Невозможно ограничить перенос информации, записанной на легальную флешку легальным пользователем. Сужается круг лиц, которые могут подозреваться в утечке, повышается вероятность успешного расследования инцидента, но не исключается возможность утечки. То есть, по сути, решение не является решением этой проблемы. |
После работы на непроверенных ПК флешка, а затем и информационная система организации может быть заражена вирусами или другим вредоносным ПО. |
Установкой одной или нескольких программ защиты от вредоносного ПО (антивирусу, анти-maleware), настройкой в системы разграничения доступа (запрета запуска программ, отсутствующих в разрешенном списке, проверки целостности программ перед запуском, замены поврежденных программ резервными копиями по результатам проверки). |
Существующие антивирусы не дают гарантированной защищенности, а только снижают риск. Системы разграничения доступа, действительно обеспечивающие эти функцию, дороги и редко устанавливаются только для того, чтобы обеспечить возможность работы с USB-памятью. |
Файлы на USB-носителе могут быть несанкционированно удалены или изменены. |
Снабжением USB-носителей средствами аутентификации пользователя или применением криптографических методов защиты данных, записываемых на эти носители. |
Это не решает проблемы искажений или удаления информации при обработке легальным пользователем (злонамеренной или в результате работы на враждебных СВТ) |
Пользователи относятся к устройству легкомысленно, используют не только в служебных целях и часто теряют. |
Оргмеры (централизованные закупки, регистрация и учет, запрет на внеслужебное использование, штраф за утерю) |
Поскольку устройство недорогое, материальная ответственность за него не слишком обременительна, а внеслужебное использование не поддается контролю благодаря возможности многократной записи и удаления информации. |
Вынос за пределы организации трудно установить визуально, устройство легко может быть украдено у легального пользователя злоумышленником. |
Оргмеры (усиление охраны, запрет на вынос устройств за пределы территории предприятия). |
Выполнение запрета на вынос трудно проконтролировать, усиление охраны предприятия не снижает вероятности кражи за пределами его территории. |
Получается, что все принимаемые меры имеют весьма отдаленное отношение к проблемам, связанным с применением USB-устройств.
Решения состоят так или иначе в снабжении флешек механизмами аутентификации пользователя и в предоставлении возможности запрещать использование в информационной системе таких устройств вообще, или разрешать использование только устройств с теми или иными уникальными идентификаторами. В лучшем случае это дополняется возможностью настройки правил разграничения доступа таким образом, чтобы пользоваться определенными флешками можно было только определенным пользователям и записывать на них не что-угодно, а только определенные файлы.
Все это скорее осложняет жизнь пользователям и администраторам безопасности информации, чем создает действительно защищенную и в то же время удобную инфраструктуру использования USB-памяти. Потому что «решения», как мы видим, «борются» просто не с тем, в чем состоят «проблемы».
Это очень легко понять, если проанализировать не то, насколько надежно та или иная система запрещает работу с теми или иными устройствами, а то, как, собственно, нам бы хотелось применять USB-носители в идеале.
Как мы уже определили, опасность применения флешек в информационной системе состоит не в том, что они тем или иным способом применяются внутри системы, а в том, что они могут с тем же успехом применяться и снаружи.
Информацию, записанную на них с рабочего ПК, можно унести и скопировать на другой ПК с неизвестно какими целями. Вредоносное или просто нежелательное, неразрешенное ПО самого разного рода можно записать на них с постороннего ПК и принести в организацию.
И в этом смысле мало что дает ограничение «использовать только строго определенные флешки», ведь и с разрешенной к использованию флешки можно переписать то, что не следует, туда, куда не следует.
Метод защиты от утечек через USB-носители путем ограничения их использования на защищаемых ПК несет в себе принципиальную ущербность, ведь применение флешек на посторонних ПК при этом никак не ограничивается.
Именно поэтому к организации защищенной работы с устройствами этого типа должен применяться принципиально иной подход, основанный на технической невозможности использовать служебные носители вне информационной системы, для использования в которой они приобретались владельцем системы.
Автор: Конявская-Счастная (Конявская) С. В.
Дата публикации: 01.01.2010
Библиографическая ссылка: Конявская С. В. Организация применения USB-флешдисков на предприятиях: основные ошибки в обеспечении информационной безопасности // Комплексная защита информации. Материалы XV международной научно-практической конференции (Иркутск (Россия), 1–4 июня 2010 г.). М., 2010. С. 107–110.
Обратная связь
Отправьте нам сообщение или закажите обратный звонок.