Яблочко от яблоньки недалеко падает, или как удержать в контролируемой зоне информацию, записанную на USB-носитель

Впервые на уровне серийного производства решена задача создания Служебного Носителя информации: USB-накопителя, применение которого легальным пользователем на разрешенных владельцем компьютерах ничем не отличается от работы с обычной флешкой, но применение которого на любом другом компьютере, кроме разрешенных владельцем, полностью исключено.

В любой организации сотрудники делятся на две жестко противопоставленные группы: те, кто считает, что флешки - это хорошо, и те, кто считает, что флешки - это плохо. Для первых флешки - это несомненное удобство, экономия времени, сил и места, а для вторых они связаны с головной болью как источник неизбежного заражения систем вредоносным ПО и практически неизбежных утечек. Первых обычно больше, но ко вторым обычно относятся владельцы бизнеса. Действительно, применение флешек на предприятии больше выгодно сотрудникам, чем владельцу предприятия, а неприятностей от него больше у владельцев, чем у пользователей.

Однако у владельцев информационных систем гораздо больше, чем у пользователей, возможностей по внедрению в систему средств обеспечения информационной безопасности.

Почему же при этом задача защищенной работы с USB-флешками в организации до сих пор выглядит практически нерешаемой? Ситуация тут, похоже, аналогична попыткам защитить от расхищения колхозную собственность. Невозможно защитить то, что никому не принадлежит.

В защите нуждается не флешка и даже не информация сама по себе, а интересы ее владельца. И цель принятия различных мер по защите информации - обеспечить такой режим, при котором доступом к информации будет управлять владелец. Чтобы обеспечить такой режим, нужно знать, кто владелец.

Точно так же, впрочем, обстоит дело и с любой другой собственностью - защитить интересы собственника возможно только в том случае, если известно, кто собственник. Если неизвестно, кто владелец недвижимости, как установить, законно ли ею распоряжаются? Защита интересов владельца - это защита его приоритетного положения по отношению к своей собственности.

Наличие четко определяемого владельца - совершенно необходимое условие и для обеспечения информационной безопасности. Владелец - это та точка отсчета, которая необходима для построения системы защиты.

Кто хозяин?

Если флешки выдаются сотруднику на работе, то, как и все остальные средства вычислительной техники, принадлежат они владельцу информационной системы. Если же сотрудники покупают их самостоятельно, то принадлежат эти флешки тем сотрудникам, которые их приобрели, это естественно.

Тут кроется парадокс: может ли быть частью информационной системы элемент, принадлежащий другому владельцу? Казалось бы, вопрос весьма специфический и имеющий мало отношения к информационной безопасности системы.

Однако, это только на первый взгляд. Ведь система защиты должна обеспечивать возможность распоряжаться доступом к информации ее владельцу информации на его усмотрение, а всем остальным - действовать в соответствии с назначенными для них владельцем правами. Если же нет определенности в том, кто владелец, сомнительными становятся основания для ограничения доступа к «спорным» ресурсам. Ведь модель угроз, необходимая для построения корректной системы защиты (и это касается не только информации), напрямую зависит от того, где проходят баррикады и кто по какую сторону от них.

Итак, формально флешки, конечно, имеют хозяина, ведь кто-то за них заплатил. В корректно построенной системе должны функционировать «служебные», а не «личные» флешки. Однако посмотрим, что вообще обозначает «владелец» по отношению к USB-памяти.

Связь между устройством и его владельцем никаким образом технически не обусловлена. Человек знает, что это его флешка, флешка же «не знает» об этом ничего, для нее все люди совершенно одинаковы. Значит, фактическим владельцем флешки является тот, кто в данный момент имеет возможность подключить ее к компьютеру.

Получается, что обыкновенные USB-флешки по природе своей НИЧЬИ. А ничье невозможно защитить.

Защита неравенства

Защищенные устройства или системы - это такие, пользоваться которыми могут не все.

Что же это означает применительно к защите флеш-памяти в формате USB-устройства?

Точкой отсчета при выстраивании системы защищенной работы с флеш-памятью в формате USB-устройства должен быть владелец системы. Только он должен определять, на каких компьютерах сотрудник сможет, а на каких не сможет применять свое устройство.

Значит, идеальная работа с USB-памятью в организации - это такая, когда владелец системы определяет,

1) кто может использовать флешку,

2) какую именно флешку сотрудник может использовать,

3) на каких именно компьютерах данный сотрудник может использовать данную флешку.

И при этом на компьютерах данной системы нельзя использовать никакие другие флешки, кроме разрешенных, а флешки, используемые в данной системе нельзя использовать ни на каких других компьютерах, кроме назначенных владельцем.

Казалось бы, это просто утопия - как можно что-то запретить на тех компьютерах, круг которых даже не может быть очерчен?

Однако, это не так. Именно такую возможность предоставляет система на основе защищенного носителя информации «Секрет». Эта система лишена недостатков, присущих принятым ранее способам работы с флешками в организациях.

Основные ошибки тех, кто пытается защищать флешки

Что такое «хорошая» защита, если рассуждать с точки зрения функционирования системы? Хорошей логично считать защиту, которая эффективно блокирует угрозы, не блокируя при этом полезную функциональность защищаемого устройства (или программы). Посмотрим, каковы полезные свойства флешек, и какие опасности с ними связаны.

Свойство USB-памяти	Выгода	Опасность
Предназначается для хранения информации и переноса ее с одного ПК на другой.	В ходе работы организации часто требуется переносить файлы с одного ПК на другой, такая возможность делает рабочий процесс быстрее и эффективнее.	Невозможно ограничить перенос информации, записанной на флешку, на компьютеры вне организации, возрастает возможность утечки данных из организации.
Может использоваться на любом или почти любом ПК за счет стандартного интерфейса подключения и отсутствия необходимости установки дополнительного ПО.	Сотрудник становится мобильнее, имея возможность работать с необходимыми данными не только на своем рабочем месте.	После работы на непроверенных ПК флешка, а затем и информационная система организации может быть заражена вирусами или другим вредоносным ПО.
Недорого стоит	Применение в организации не требует значительных затрат, зачастую сотрудники применяют самостоятельно купленные устройства.	Пользователи относятся к устройству легкомысленно, используют не только в служебных целях, передают друг другу и часто теряют.
Небольшого размера и веса.	Удобно в применении и переноске.	Вынос за пределы организации трудно установить визуально, устройство легко может быть украдено у легального пользователя злоумышленником.

Если предельно обобщить, то с точки зрения владельца системы проблемы с флешками две: на ней можно унести то, что не следует уносить, и на ней можно принести то, что не следует приносить. Для обеих проблем разработчики средств защиты информации предлагают свои решения.

Решения эти, конечно, различны по качеству и лежащим в основе принципам, однако, хуже другое - ни одно из них не обеспечивает возможности комфортной и в то же время безопасной работы в организации с USB-памятью.

В этом легко убедиться, если попробовать оценить, какие именно защитные механизмы применяются для обеспечения безопасного использования флешек. Будем исходить из того, что механизмы реализованы в СЗИ правильно и работает СЗИ надежно, рассмотрим только саму суть механизмов, а не качество реализации.

Опасность	Механизмы защиты	Недостатки
Невозможно ограничить перенос информации, записанной на флешку, на компьютеры вне организации, возрастает возможность утечки данных из организации.	Установкой различных СЗИ, допускающих применение в информационной системе только строго определенных флешек (по уникальному идентификатору). Настройкой правил разграничения доступа определенных пользователей с определенными флешками.	Невозможно ограничить вынос информации, записанной на легальную флешку легальным пользователем. Сужается круг лиц, которые могут подозреваться в утечке, повышается вероятность успешного расследования инцидента, но не исключается возможность утечки. То есть, по сути, решение не является решением этой проблемы.
После работы на непроверенных ПК флешка, а затем и информационная система организации может быть заражена вирусами или другим вредоносным ПО.	Установкой одной или нескольких программ защиты от вредоносного ПО (антивирусу, анти-maleware), настройкой в системы разграничения доступа (запрета запуска программ, отсутствующих в разрешенном списке, проверки целостности программ перед запуском, замены поврежденных программ резервными копиями по результатам проверки).	Существующие антивирусы не дают гарантированной защищенности, а только снижают риск. Системы разграничения доступа, действительно обеспечивающие эту функцию, дороги и редко устанавливаются только для того, чтобы обеспечить возможность работы с USB-памятью.
Пользователи относятся к устройству легкомысленно, используют не только в служебных целях, передают друг другу и часто теряют.	Оргмеры (централизованные закупки, регистрация и учет, запрет на внеслужебное использование, штраф за утерю), использование устройств с механизмами аутентификации и/или шифрования	Поскольку устройство недорогое, материальная ответственность за него не слишком обременительна, а внеслужебное использование не поддается контролю благодаря возможности многократной записи и удаления информации, в результате данные подвергаются опасности искажения или удаления по невнимательности, умыслу или под воздействием вредоносного ПО
Вынос за пределы организации трудно установить визуально, устройство легко может быть украдено у легального пользователя злоумышленником.	Оргмеры (усиление охраны, запрет на вынос устройств за пределы территории предприятия).	Выполнение запрета на вынос трудно проконтролировать, усиление охраны предприятия не снижает вероятности кражи за пределами его территории, часто вынос за пределы охраняемой территории необходим для решения служебной задачи.

Получается, что все принимаемые меры имеют весьма отдаленное отношение к проблемам, связанным с применением USB-устройств.

Решения состоят так или иначе в снабжении флешек механизмами аутентификации пользователя и в предоставлении возможности запрещать использование в информационной системе таких устройств вообще, или разрешать использование только устройств с теми или иными уникальными идентификаторами. В лучшем случае это дополняется возможностью настройки правил разграничения доступа таким образом, чтобы пользоваться определенными флешками можно было только определенным пользователям и записывать на них не что-угодно, а только определенные файлы.

Все это скорее осложняет жизнь пользователям и администраторам безопасности информации, чем создает действительно защищенную и в то же время удобную инфраструктуру использования USB-памяти. Потому что «решения», как мы видим, «борются» просто не с тем, в чем состоят «проблемы».

Это очень легко понять, если проанализировать как, собственно, нам бы хотелось применять USB-носители в идеале.

Как мы уже определили, главная проблема с флешками состоит не в том, как они применяются внутри системы, и не в том, как они применяются снаружи, а в том, что для флешек не существует разницы между понятиями «внутри» и «снаружи», и свободно пересекая границы системы, они размывают ее защищенный контур.

Информацию, записанную на флешку с рабочего ПК, можно унести и скопировать на другой ПК с неизвестно какими целями. Вредоносное или просто нежелательное, неразрешенное ПО самого разного рода можно записать на них с постороннего ПК и принести в организацию.

И в этом смысле мало что дает ограничение «использовать только строго определенные флешки», ведь и с разрешенной к использованию флешки можно переписать то, что не следует, туда, куда не следует.

Метод защиты от утечек через USB-носители путем ограничения их использования на защищаемых ПК несет в себе принципиальную ущербность, ведь применение флешек на посторонних ПК при этом никак не ограничивается.

Необходимо наоборот, сделать невозможным использование флешек вне системы, сделать их зависимыми от нее.

Материализация нематериальных сущностей

Никакой реальной - измеряемой - связи между владельцем и его собственностью, как правило, нет, эта связь носит социальный - правовой, моральный и т. д. характер. Мы можем установить, что человек, объявляющий себя собственником, является таковым, по признакам, не связанным неразрывно ни с владельцем, ни с имуществом - по документам на собственность, например. Даже детальное изучение человека не позволяет заключить, его ли та или иная вещь, и изучение вещи тоже не укажет на ее владельца.

Именно поэтому мы с детства стараемся «пометить» особенно дорогие нам вещи - поцарапать, приклеить наклейку, написать свою фамилию, нанести логотип. «Привязать» к себе свою собственность.

Это дает возможность различить свое и чужое, но, к сожалению, никак не ограничивает возможности «самозванца» безосновательно распоряжаться чужим имуществом в личных целях.

Защита приоритетного права владельца распоряжаться своей собственностью - задача тем более не простая, когда непосредственные действия по использованью предмета собственности должны осуществлять совсем другие лица, интересы которых, возможно, и не противопоставлены интересам владельца, но и не прямо совпадают с ними. В этом случае задачей защиты интересов владельца будет обеспечение режима, когда он способен контролировать, кем и для чего используется его собственность.

Это задача имманентная для банка по своей сути. Ведь именно такую задачу решает банк-эмитент, эмитируя банковские карты. Банковская карта является собственностью банка, одним из технических средств, инструментов функционирования его системы, однако использует ее совсем другой человек, причем для банка совершенно принципиально, какой именно. Основанием эмиссии карты является договор, правовые отношения между банком и клиентом, однако эмиссия делает эти отношения «материальными», технологически связывая банк, карту и держателя карты (владельца счета). Яблочко не падает далеко от яблоньки, потому что является порожденной ею частью, элементом ее системы.

Именно такой механизм мы заложили в основу системы «Секрет» - в систему управления специальными служебными USB-носителями.

Храните данные в СЕКРЕТЕ!

Система состоит из самих служебных носителей - специальных USB-флешек - и ПО, устанавливаемого на компьютеры для управления этими служебными носителями. Линейка продуктов «Секрет» включает себя комплексы, построенные на разных моделях управления: «Личный секрет», «Секрет фирмы», «Профессиональный секрет». Все они обеспечивают такой режим работы, при котором данные, хранящиеся на служебном носителе «Секрет» могут обрабатываться только легальными пользователями (после введения PIN-кода) и только на разрешенных компьютерах. При этом использование всех других флешек в системе может быть запрещено.

При подключении «Секрета» к любому компьютеру, кроме разрешенных, пользователю даже не будет предложено ввести PIN-код, он не сможет даже предпринять попытки получить доступ к хранящейся в «Секрете» информации, так как устройство вообще не будет «обнаружено» компьютером как устройство типа mass-storage. Для пользователя это будет выглядеть как неисправное устройство, или устройство не поддерживаемого данным ПК типа.

Решения, предназначенные для корпоративного использования - ПАК (программно-аппаратные комплексы) «Секрет фирмы» и «Профессиональный секрет» - состоят из служебных носителей (СН) «Секрет», программного обеспечения (ПО) для рабочих станций (Секретный агент) и ПО для сервера аутентификации (Центр управления).

СН «Секрет» - это USB-устройство, предназначенное для хранения в его внутренней памяти информации ограниченного доступа, в том числе ключевой информации и персональных данных. «Секреты» выдаются пользователям и применяются ими на тех рабочих станциях, на которых а) установлено ПО «Секретный агент» и б) на которых разрешено работать с данным конкретным «Секретом». Настройки, в том числе назначения, на каких ПК можно работать с какими «Секретами», задаются на сервере аутентификации, на котором установлено ПО «Центр управления». Именно сервер аутентификации на основании обмена данными с «Секретом» принимает решение о разрешении доступа, а рабочая станция только передает данные от «Секрета» на сервер. Пользователь получает доступ к содержимому «Секрета» в том случае, если рабочая станция опознала «Секрет» как разрешенный для работы на ней, пользователь ввел верный PIN-код, подтвердив свое право использовать «Секрет», и сервер аутентификации подтвердил права пользователя и «Секрета».

Кто хозяин? Эмиссия СЕКРЕТОВ

Хорошо понятно, что такая система должна быть явным образом «привязана» к эксплуатирующей ее организации. Если, пусть даже и только по предварительному сговору, было бы можно раскрывать «Секреты» одной организации в системе другой, тоже применяющей эту технологию, смысл защиты свелся бы на «нет».

Аутентификация «Секрета» на сервере аутентификации производится на основании специального протокола с применением криптографических ключей. Эти ключи и являются той самой технологической привязкой, по которой сервер аутентификации отличает свой «Секрет» от «Секрета» другой фирмы. Для этого служебные носители «Секрет», применяемые в информационной системе, эмитируются в этой же системе на АРМ эмиссии, ПО которого входит в состав «Секрета фирмы» и «Профессионального секрета». Эта технология исключает, что кто-либо, даже производитель «Секретов», сможет выпустить носитель, «подходящий» для использования в чужой системе. Нейтральные при покупке носители с помощью специальной защищенной процедуры эмитируются как элементы именно той системы, для которой они приобретены.

Для работы на сервере аутентификации и АРМ эмиссии необходимы два особых «Секрета» - специальный носитель сервера аутентификации (СНСА) и специальный носитель эмитента (СНЭ), которые также входят в состав комплекса для распределенных модификаций.

Для использования эмитированного «Секрета» на компьютерах системы его нужно зарегистрировать на сервере аутентификации. При этом «Секрет» и сервер аутентификации обмениваются ключами аутентификации, выработанными при эмиссии и известными только им, а значит, «Секреты» эмитированные для других фирм в принципе не смогут быть зарегистрированы в этой системе.

Таким образом мы получаем систему, при которых легальные пользователи могут использовать служебные носители на разрешенных компьютерах без ограничений функциональности обыкновенной флешки - только с введением PIN-кода, но ни они, ни кто-либо другой случайно или намеренно завладевший «Секретом» не сможет раскрыть его ни на одном другом компьютере, даже в системе, в которой тоже используется «Секрет» и установлено необходимое для его применения ПО.

Применение ПАК «Секрет» не решает всех задач защиты информации в организации, но обеспечивает режим, при котором исключен вынос из системы информации, записанной на служебные носители этой системы. Яблочко не падает далеко именно от той яблоньки, на которой оно выросло. И это принципиально.

Автор: Конявская С. В.

Дата публикации: 01.01.2010

Библиографическая ссылка: Конявская С. В. Яблочко от яблоньки недалеко падает, или как удержать в контролируемой зоне информацию, записанную на USB-носитель // Аналитический банковский журнал. 2010. № 7–8 (181–182). С. 134–138.

---