Безопасность в сети: как перестать беспокоиться и начать работать
Несмотря на реальную опасность информационных войн, положение российского рынка средств и услуг безопасности изменилось лишь незначительно. Определенные сдвиги, конечно, есть, но носят скорее качественный, чем количественный характер. Если западные компании продолжают активно развивать инфраструктуру безопасности, то отечественные заказчики только начинают задумываться над необходимостью защиты информации от злоумышленников.
А задумавшись, сталкиваются с рядом проблем, которые невозможно решить, не обладая компетентной поддержкой специалистов. Любая защита начинается с идеи. Нужно иметь представление о том, какую информацию и от кого необходимо защитить. Однако не многие имеют четкое представление о том, какие именно данные, от какой опасности и каким образом им нужно уберечь. Очень часто игнорируется организационный аспект, который обеспечивал бы комплексный и последовательный подход к вопросам обеспечения информационной безопасности. Также многие забывают о проверке эффективности систем и процедур безопасности, внедряемой на предприятии, чем, по сути, только распыляют силы и средства. К тому же, если быть до конца откровенными, не все руководители уверены в необходимости серьезной защиты данных.
Мировая статистика свидетельствует, что число компьютерных преступлений с каждым годом увеличивается в среднем на 32-35% . В США, например, ежегодный ущерб от атак злоумышленников составляет около 4 миллиардов долларов. Компании теряют сотни тысяч долларов от "средней руки" компьютерных преступлений, в то время как при тривиальном ограблении банка потери составляют не больше 20 тысяч.
Последние данные исследовательских агентств свидетельствуют о том, что российские компании подвержены подобным рискам так же, как и их западные коллеги. Более 60% компаний-лидеров различных направлений бизнеса, к сожалению, сталкивались с нарушением информационной безопасности. В половине указанных случаев наблюдались проникновения в информационную систему со стороны. Значительный ущерб был понесен от атак типа "отказа в обслуживании". Но наиболее крупные информационно-финансовые потери по-прежнему связаны с саботажем со стороны собственных сотрудников.
Специалисты выделяют несколько факторов, способствующих хищению конфиденциальных данных "изнутри". Серьезной проблемой является элементарная невнимательность сотрудников. Во многих компаниях осознание риска, связанного с компрометацией данных, соседствует с несоблюдением норм безопасности. Информация уже давно ценится на вес золота, однако не все считают нужным точно так же ее оберегать. Значительная категория пользователей по-прежнему наклеивает бумажки с паролями на стены и хранит важные документы в незапертых ящиках столов.
Настоящим камнем, брошенным в огород безопасности, являются "слабые" пароли. Пароли типа qwerty или 12345, как ни странно, до сих пор не редкость в современных офисах. Многие сотрудники используют в качестве паролей имена близких или клички животных, даже не предполагая, что простенькая программа взломает такую "хитрую" защиту меньше чем за минуту - простым перебором слов.
"Слабые" пароли не обязательно открывают доступ в корпоративную сеть, но значительно облегчают работу "электронного вора", уже проникшего в нее. Злоумышленник, владеющий списком паролей с сервера или ПК, может использовать их для получения доступа к другим компьютерам сети в обход установленных систем безопасности. Более того, избавиться от такого хакера - весьма трудоемкая для администратора задача. Ну а если пользователь, несущий угрозу, является полноценным членом компании, от него вообще практически невозможно что-либо скрыть.
Единственный способ борьбы с этим злом - сделать пароли почти не угадываемыми, но тогда их нужно выбирать абсолютно случайным образом. Человеку сделать это довольно трудно. Еще одна сложность состоит в запоминании большого количества паролей к различным приложениям, что сложно выполнить, учитывая динамичный рабочий процесс и объемы разноуровневой информации, проходящей сквозь сотрудников.
Лучший выход из ситуации - не допускать злоумышленника до информации. Однако для предупреждения внутренней угрозы, данный метод, мягко говоря, не актуален - запретить всем работникам компании пользоваться информационными ресурсами невозможно. Поэтому, чтобы обеспечить безопасность, необходимо владеть серьезными средствами аутентификации, обеспечивающими надежное распознавание пользователей и разграничение пользовательских прав. В качестве инструментов аутентификации могут использоваться пароли, программные или аппаратные средства. Ненадежность парольной защиты рассматривалась выше. Программная защита обеспечивается средствами операционной системы, но также требует ввода и запоминания пароля. К тому же, секреты взлома подобных защит давно являются достоянием общественности.
Самыми надежными на сегодняшний день считаются средства аппаратной аутентификации - электронные USB-ключи, смарт-карты и системы биометрической идентификации пользователя по уникальным биологическим признакам. Когда нужна по-настоящему высокая степень защиты, можно аутентифицировать людей по нескольким признакам: тому, что они знают пароль, что есть при них (смарт-карта или электронный ключ) и что есть у них (биометрические параметры). Такая защита, на взгляд профессионалов, наиболее качественна. Практика показывает, что биометрические средства защиты не могут считаться достаточно надежными - по статистике, менее 60% пользователей поддаются строгой аутентификации посредством биометрических систем. Наука в этом направлении только развивается.
Наиболее надежными из современных способов аутентификации считаются аппаратно-программные продукты на основе смарт-карт и электронных ключей. Их достоинства - совмещение аппаратного метода аутентификации с программными методами управления потоком данных и регулированием пользовательских полномочий. Подобные средства могут нести не только функцию "сейфов", запирающих пароли. Все чаще и чаще на их основе выстраиваются комплексные, многоцелевые системы защиты информации, способные оградить от проникновений злоумышленников, обезопасить корпоративную переписку и зашифровать особо важную информацию.
Примером подобных решений может служить система сетевой аутентификации "eToken - Безопасность в сети" от компании Aladdin Software Security R.D. Комплексная защита, осуществляемая этой системой, позволяет обезопасить информацию "на подходах" к ней, не дожидаясь, когда враг встанет у ворот.
"eToken - Безопасность в сети" построен на технологии электронных ключей eToken и предназначен для обеспечения безопасной работы в сетях Windows 2000/XP. Этот продукт позволяет отказаться от использования паролей при входе в сеть и при защите конфиденциальной переписки, одновременно решая проблему запоминания и хранения множества сложных паролей при доступе к сети и различным приложениям. Усиленная защита, осуществляемая "eToken - Безопасность в сети", строится на инфраструктуре открытых ключей (Public Key Infrastructure, PKI). Многие годы внедрение PKI было прерогативой крупных компаний, правительственных и финансовых учреждений, так как только они располагали денежными и человеческими ресурсами, необходимыми для успешного управления сложной системой открытых ключей. В настоящее время все большее число компаний используют эту технологию для обеспечения конфиденциальности, целостности и подтверждения авторства информации.
Существенными частями инфраструктуры являются цифровые сертификаты. При их работе используется принцип асимметричного шифрования: один из двух ключей шифрования доступен всем (открытый), другой держится в секрете (закрытый). Любые данные, зашифрованные одним ключом, могут быть расшифрованы другим, и наоборот. При этом, по-настоящему секретная информация, которая может "помочь" злоумышленнику, - закрытый ключ шифрования. Но он содержится в миниатюрном аппаратном устройстве - электронном ключе eToken - и никогда не передается вовне. Энергонезависимая память eToken способна хранить в себе до 64 Kб конфиденциальных данных. Чтобы инициализироваться в сети, пользователю достаточно просто подсоединить такой ключ к USB-порту и ввести его PIN-код. Таким образом, осуществляется двухфакторная аутентификация: при помощи аппаратного ключа eToken и PIN-кода. Даже если пользователь потеряет электронный идентификатор, воспользоваться им все равно никто не сможет, так как PIN-код ключа известен только его владельцу.
Работа "eToken - Безопасность в сети" с цифровыми сертификатами обеспечивает безопасность в Windows 2000/XP и MS Office XP, позволяя применять средства шифрования и цифровой подписи при защите корпоративной переписки MS Outlook/Express и электронного документооборота MS Office.
Цифровая подпись дает возможность узнать, заслуживает ли доверия источник, из которого поступил документ, то есть, кто его подписал и кто выдал данный сертификат, и не были ли внесены в этот документ изменения с момента его подписания. Цифровая подпись создается на основе цифрового сертификата пользователя, также хранящегося в защищенной памяти ключа eToken. Любой документ формата Word, Excel и Power Point можно подписать цифровой подписью и зашифровать. Шифрование информации может осуществляться штатными средствами операционной системы. При необходимости к работе можно подключить и сертифицированный ФАПСИ - российский криптопровайдер "КриптоПро".
Несмотря на все плюсы инфраструктуры PKI, сложность ее развертывания на предприятии и дороговизна до сих пор не дают возможности массового применения. Альтернативой "Безопасности в сети" является "eToken Network Logon", также основанный на применении электронного ключа eToken, но не требующий разворачивания PKI. Этот продукт позволяет усилить защиту Windows NT/2000, отказавшись от хранения и запоминания паролей. Вместо этого применяется знакомый метод двухфакторной аутентификации: сгенерированный сложный пароль длиной 128 символов хранится в защищенной памяти ключа, а доступ к нему можно получить только по PIN-коду. Таким образом, чтобы зарегистрироваться в сети, нужно иметь ключ и знать его PIN-код. В одном USB-ключе можно хранить пароли для доступа в различные сетевые домены, а также ко многим другим приложениям.
Продукты на основе eToken обладают рядом преимуществ, позволяющих сделать работу в офисе более удобной и безопасной. Однако в любом случае необходимо помнить, что даже самая продвинутая система безопасности не защитит от халатности. Только относясь к корпоративным данным как к ценности, можно будет вздохнуть спокойно и перестать, наконец, беспокоиться по поводу их сохранности.