Доклады, выступления, видео и электронные публикации

Организация применения USB-флешдисков на предприятиях: основные ошибки в обеспечении информационной безопасности

Для владельцев информационных систем USB-флешки связаны с головной болью как источник неизбежного заражения систем вредоносным ПО и практически непредотвратимых утечек.

Основания для такого мнения, безусловно, есть, и очень существенные:

Свойство USB-памяти

Выгода

Опасность

Предназначается для хранения информации и переноса ее с одного ПК на другой.

В ходе работы организации часто требуется переносить файлы с одного ПК на другой, такая возможность делает рабочий процесс быстрее и эффективнее.

Невозможно ограничить перенос информации, записанной на флешку, на компьютеры вне организации, возрастает возможность утечки данных из организации.

Может использоваться на любом или почти любом ПК за счет стандартного интерфейса подключения и отсутствия необходимости установки дополнительного ПО.

Сотрудник становится мобильнее, имея возможность работать с необходимыми данными не только на своем рабочем месте.

После работы на непроверенных ПК флешка, а затем и информационная система организации может быть заражена вирусами или другим вредоносным ПО.

Может применяться как для чтения, так и для многократной записи и удаления файлов.

Не требуется большого количества расходуемых носителей информации, работа пользователя удобнее, чем в случае с CD.

Файлы на USB-носителе могут быть несанкционированно удалены или изменены.

Недорого стоит

Применение в организации не требует значительных затрат, зачастую сотрудники применяют самостоятельно купленные устройства.

Пользователи относятся к устройству легкомысленно, используют не только в служебных целях и часто теряют.

Небольшого размера и веса.

Удобно в применении и переноске.

Вынос за пределы организации трудно установить визуально, устройство легко может быть украдено у легального пользователя злоумышленником.

Получается, что применение флешек на предприятии больше выгодно сотрудникам, чем владельцу предприятия.

Невольно задаешься вопросом, стоит ли комфорт персонала таких рисков?

Если предельно обобщить, то с точки зрения владельца системы проблемы с флешками две: на ней можно унести то, что не следует уносить, и на ней можно принести то, что не следует приносить. Для обеих проблем разработчики средств защиты информации предлагают свои решения.

Решения эти, конечно, различны по качеству и лежащим в основе принципам, однако, хуже другое - ни одно из них не обеспечивает возможности комфортной и в то же время безопасной работы в организации с USB-памятью. В этом легко убедиться, попытавшись оценить, какие именно защитные механизмы применяются, как правило, в СЗИ для обеспечения безопасного использования флешек. Будем исходить из того, что механизмы реализованы в СЗИ правильно и работает СЗИ надежно, рассмотрим только саму суть механизмов, то, на что они направлены, а не как они реализованы.

Опасность

Механизмы защиты

Недостатки

Невозможно ограничить перенос информации, записанной на флешку, на компьютеры вне организации, возрастает возможность утечки данных из организации.

Установкой различных СЗИ, допускающих применение в информационной системе только строго определенных флешек (по уникальному идентификатору). Настройкой правил разграничения доступа определенных пользователей с определенными флешками.

Невозможно ограничить перенос информации, записанной на легальную флешку легальным пользователем. Сужается круг лиц, которые могут подозреваться в утечке, повышается вероятность успешного расследования инцидента, но не исключается возможность утечки. То есть, по сути, решение не является решением этой проблемы.

После работы на непроверенных ПК флешка, а затем и информационная система организации может быть заражена вирусами или другим вредоносным ПО.

Установкой одной или нескольких программ защиты от вредоносного ПО (антивирусу, анти-maleware), настройкой в системы разграничения доступа (запрета запуска программ, отсутствующих в разрешенном списке, проверки целостности программ перед запуском, замены поврежденных программ резервными копиями по результатам проверки).

Существующие антивирусы не дают гарантированной защищенности, а только снижают риск. Системы разграничения доступа, действительно обеспечивающие эти функцию, дороги и редко устанавливаются только для того, чтобы обеспечить возможность работы с USB-памятью.

Файлы на USB-носителе могут быть несанкционированно удалены или изменены.

Снабжением USB-носителей средствами аутентификации пользователя или применением криптографических методов защиты данных, записываемых на эти носители.

Это не решает проблемы искажений или удаления информации при обработке легальным пользователем (злонамеренной или в результате работы на враждебных СВТ)

Пользователи относятся к устройству легкомысленно, используют не только в служебных целях и часто теряют.

Оргмеры (централизованные закупки, регистрация и учет, запрет на внеслужебное использование, штраф за утерю)

Поскольку устройство недорогое, материальная ответственность за него не слишком обременительна, а внеслужебное использование не поддается контролю благодаря возможности многократной записи и удаления информации.

Вынос за пределы организации трудно установить визуально, устройство легко может быть украдено у легального пользователя злоумышленником.

Оргмеры (усиление охраны, запрет на вынос устройств за пределы территории предприятия).

Выполнение запрета на вынос трудно проконтролировать, усиление охраны предприятия не снижает вероятности кражи за пределами его территории.

Получается, что все принимаемые меры имеют весьма отдаленное отношение к проблемам, связанным с применением USB-устройств.

Решения состоят так или иначе в снабжении флешек механизмами аутентификации пользователя и в предоставлении возможности запрещать использование в информационной системе таких устройств вообще, или разрешать использование только устройств с теми или иными уникальными идентификаторами. В лучшем случае это дополняется возможностью настройки правил разграничения доступа таким образом, чтобы пользоваться определенными флешками можно было только определенным пользователям и записывать на них не что-угодно, а только определенные файлы.

Все это скорее осложняет жизнь пользователям и администраторам безопасности информации, чем создает действительно защищенную и в то же время удобную инфраструктуру использования USB-памяти. Потому что «решения», как мы видим, «борются» просто не с тем, в чем состоят «проблемы».

Это очень легко понять, если проанализировать не то, насколько надежно та или иная система запрещает работу с теми или иными устройствами, а то, как, собственно, нам бы хотелось применять USB-носители в идеале.

Как мы уже определили, опасность применения флешек в информационной системе состоит не в том, что они тем или иным способом применяются внутри системы, а в том, что они могут с тем же успехом применяться и снаружи.

Информацию, записанную на них с рабочего ПК, можно унести и скопировать на другой ПК с неизвестно какими целями. Вредоносное или просто нежелательное, неразрешенное ПО самого разного рода можно записать на них с постороннего ПК и принести в организацию.

И в этом смысле мало что дает ограничение «использовать только строго определенные флешки», ведь и с разрешенной к использованию флешки можно переписать то, что не следует, туда, куда не следует.

Метод защиты от утечек через USB-носители путем ограничения их использования на защищаемых ПК несет в себе принципиальную ущербность, ведь применение флешек на посторонних ПК при этом никак не ограничивается.

Именно поэтому к организации защищенной работы с устройствами этого типа должен применяться принципиально иной подход, основанный на технической невозможности использовать служебные носители вне информационной системы, для использования в которой они приобретались владельцем системы.

Автор: Конявская С. В.

Дата публикации: 01.01.2010

Библиографическая ссылка: Конявская С. В. Организация применения USB-флешдисков на предприятиях: основные ошибки в обеспечении информационной безопасности // Комплексная защита информации. Материалы XV международной научно-практической конференции (Иркутск (Россия), 1–4 июня 2010 г.). М., 2010. С. 107–110.

Scientia potestas est
Кнопка связи