Ноутбук нуждается в защите

Недавно у моего приятеля украли ноутбук. Как профессиональный дизайнер, друг хранил на своем ноутбуке портфолио за семь лет работы, заготовки для текущих проектов и полностью настроенный Outlook с адресной книгой и всеми паролями для доступа к почтовому ящику. Что теперь делать? Конечно, некоторые данные можно восстановить. Несколько месяцев уйдут на портфолио, и пара недель – на контактные сведения. Однако друг все равно безутешен. Каждую минуту в дизайнерском мире могут всплыть еще не сданные заказчикам работы. Вдобавок, у приятеля мороз по коже идет при одной только мысли, что кто-то посторонний может читать его личные письма и переписку с клиентами. А ведь все эти сведения могут быть опубликованы в Интернете…

Между тем, это был всего лишь личный ноутбук. Можно себе представить, как могли бы развернуться события, если бы друг работал не дизайнером, а скажем директором финансового департамента, и ноутбук был бы не личным, а "закрепленным" за ним компанией. Утечка конфиденциальных данных была бы гарантирована, и кто знает, к чему бы привела такая кража: к увольнению нерадивого сотрудника или уходу компании с рынка.

Это не очередная страшная история. Уже давно известна формула, согласно которой утечка 20% секретной коммерческой информации в 60% случаев приводит компанию к банкротству. При этом кража мобильных компьютеров с конфиденциальными сведениями сегодня стала обычным делом. Например, согласно исследованию Института Компьютерной Безопасности и ФБР, в 2004 году 49% компаний столкнулись с кражей ноутбуков, на которых были записаны торговые секреты фирмы. В результате суммарный ущерб от этого вида краж составил почти 7 млрд. долларов. Более того, 97% всех похищенных ноутбуков так и не были найдены.

Однако это далеко не все – сегодня преступники специально охотятся за портативными компьютерами топ-менеджеров или хотя бы обычных корпоративных служащих. Например, американский производитель самолётов компания Boeing в 2005 году лишилась вследствие таких краж 250 ноутбуков, а всемирно известная  фирма Ernst&Young осталась всего за пару месяцев без 10 мобильных компьютеров, на которых содержались чувствительные сведения ее клиентов: Nokia, Cisco, BP, IBM и Sun Microsystems.

В современном мире информация действительно начинает цениться дороже её носителя. Продав украденный ноутбук, злоумышленник выручит максимум 1 – 1.5 тыс. долларов, в то время как рыночная стоимость финансовых отчетов или интеллектуальной собственности, похищенных вместе с компьютером, может составлять миллионы долларов. Кроме того, если абстрагироваться от материального ущерба, то бывшего владельца ноутбука ждет немало неприятных минут в размышлениях о том, что преступник может сделать с его личной перепиской и паролями для доступа к различным сервисам.

Таким образом, перед корпоративными и домашними пользователями вопрос защиты чувствительных данных на мобильных компьютерах вряд ли стоит недооценивать. Задача по организации такой защиты имеет несколько решений, которые и будут рассмотрены ниже.

Защита ноутбука – это безопасность данных

Для мобильных компьютеров, содержащих конфиденциальные сведения, некоторые поставщики предлагают явно экзотические средства защиты для них. Например, компания SlappingTurtle позволяет установить на ноутбук сигнализацию наподобие той, что уже много лет используется автолюбителями. Если компьютер с таким "антиугонным" устройством сдвинуть с места, то завоет сирена. Однако ноутбук все это время должен находиться во включенном состоянии. Во всех остальных случаях такой метод защиты абсолютно бессилен.
Еще один оригинальный способ предлагает компания Everdream. На ноутбук устанавливается специальная программа, которая тут же сообщит хозяину о местонахождении украденного компьютера, если преступник подключит его к Интернету. Однако такая защита шита белыми нитками, так как злоумышленник вовсе не обязан выходить в Интернет с похищенного компьютера. Не подключая ноутбук к сети, преступник может спокойно воспользоваться всеми конфиденциальными документами.

Таким образом, чтобы минимизировать потери в случае кражи мобильного компьютера, следует в первую очередь надежно защитить записанную на нем информацию. Самой эффективной технологией в данном контексте является шифрование, так как только в этом случае есть достоверная гарантия того, что преступник не сможет получить доступ к секретным данным Все остальные средства защиты, в том числе и описанные выше, могут служить лишь дополнением к  криптографической защите, но никак не заменять её.

Криптографические средства защиты

Отметим, что стандартные средства безопасности, поставляемые вместе с операционной системой или встроенные в неё, необходимо использовать по максимуму, однако дать серьёзные гарантии защиты, используя только их, невозможно. Например, чтобы преодолеть пароль при входе в систему, опытному преступнику потребуется 5-10 минут. А чтобы обмануть стандартные списки контроля доступа (ACL), столь любимые пользователями Microsoft Windows, злоумышленнику понадобится обычный дисковый редактор, бесплатно распространяемый через Интернет, и 20-30 минут времени.

Более того, каждая операционная система обладает целым рядом механизмов по дублированию данных. Так, когда пользователь удаляет документ, то система всего лишь переносит его в корзину. А если стереть файл в корзине, то он все равно останется на диске, просто система пометит его, как "удаленный". Используя бесплатные средства восстановления данных, доступные в Интернете, можно всего за несколько минут восстановить мегабайты стертой информации. Между тем, удаление файлов – это еще полбеды, ведь есть еще временные файлы, swap-файлы (файлы подкачки) и многое другое. В каждом из этих "потаенных мест" операционной системы остаются копии чувствительных данных пользователя. С одной стороны, это гарантирует отказоустойчивость и производительность системы, а с другой – представляет угрозу безопасности. Таким образом, чтобы защитить информацию действительно надежно, необходимо использовать специальное программное обеспечение.

Сегодня на российском рынке есть целый ряд компаний, продукты которых позволяют надежно зашифровать данные. Это Aladdin, Физтехсофт, SecurIT, ЛАНКрипто и другие. Все, что требуется от пользователя - установить программу на свой ноутбук и указать, какой раздел или разделы жесткого диска должны быть под постоянной защитой. Именно эти диски следует помещать конфиденциальные документы и другую чувствительную информацию. Работа такой программы должна быть полностью прозрачна. Таким образом, шифрование осуществляется в фоновом режиме, и пользователь его даже не замечает. Это важный критерий, на которой стоит обращать внимание, при выборе ПО для защиты приватной информации.

Чтобы обеспечить надежное шифрование данных, разработчики используют в своих продуктах проверенные временем криптографические алгоритмы. Некоторые компании позволяют пользователю подключать внешние алгоритмы шифрования, что значительно снижает вероятность слабой реализации проверенных криптографических схем и позволяет гарантировать действительно высокий уровень защиты. "Доморощенная" или самописная защита, основанная на секретных алгоритмах, не гарантирует надежность и со временем может обнаружить уязвимости, которым не преминёт воспользоваться злоумышленник – это лишь вопрос времени.

Например, фирма Aladdin, разработчик программно-аппаратного комплекса для защиты данных Secret Disk NG, рекомендует своим клиентам использовать одни из самых надежных и производительных публичных алгоритмов шифрования – AES и Twofish. Оба алгоритма реализованы в криптографическом модуле Crypto Pack, который любой желающий может бесплатно загрузить с сайта компании.

Так, скорость работы алгоритма шифрования AES с ключом 128 бит достигает 46,55 Мб/с, а с ключом в 256 бит – 36,57 Мб/с, что позволяет защищать даже самые большие объемы данных в самых комфортных для пользователя условиях. Отметим, что для представителей российского бизнеса особенно важно, чтобы используемый для шифрования алгоритм был сертифицирован и разрешен к применению компетентными органами. Специально для этих целей в том же Secret Disk NG реализована поддержка сертифицированных отечественных криптопровайдеров КриптоПро CSP 2.0 и Signal-COM CSP, обеспечивающих шифрование с использованием алгоритма ГОСТ-28147-89.

В терминологии разработчика – зашифрованные разделы называются "защищенными дисками", они могут быть созданы на основных разделах и логических дисках базовых дисков, томах динамических дисков, съёмных носителях (USB-диск, ZIP-диск, магнитооптика и др.), а также виртуальных дисках. Разнообразие возможностей обеспечивает гибкость в реализации защиты, позволяя самостоятельно конфигурировать систему безопасности своего ноутбука.
Учитывая мобильность ноутбука и возможность работы без подключения к внешнему источнику питания, необходимо предусмотреть вероятность того, что встроенная батарея может "сесть" в самый неподходящий момент. Например, в процессе шифрования. Для того чтобы избежать последствий отключения электропитания или тех же системных сбоев, процесс изначального шифрования (создания защищенных дисков) должен осуществляться посекторно. Это позволит владельцу ноутбука в любой момент приостановить или даже полностью отменить его. При этом все данные гарантировано будут сохранены.

Особое внимание стоит уделить возможности резервного копирования и восстановления ключей ключей шифрования в файл и/или из него или в память электронного коюча и/или из неё.
Применение средств шифрования тесно связано с аутентификацией пользователя, без прохождения которой невозможно получить доступ к данным. Короткий и простой пароль легко может быть подобран злоумышленником, а длинный и запутанный  -  сложно запомнить. Чтобы решить эту проблему, прогрессивные разработчики криптографических средств используют технологию двухфакторной аутентификации, реализованную с помощью USB-ключей или смарт-карт.

К каждой копии продукта прилагается аппаратный ключ (токен), который необходимо подсоединить к USB-порту компьютера при доступе к защищенной информации. Далее ключ запрашивает PIN-код, известный только хозяину компьютера. Таким образом, для доступа к информации пользователю необходимо обладать двумя секретами: самим токеном и PIN-кодом к нему. При отсоединении USB-ключа или смарт-карты происходит блокирование компьютера и автоматическое отключение дисков.

Отметим, что токен обладает энергонезависимой памятью для хранения ключей шифрования, а также специальным чипом для осуществления всех криптографических операций внутри устройства. За счет этого удается достичь высокого уровня защиты, так как токен выполняет сразу две функции. Во-первых, это аппаратно защищенный контейнер ключей шифрования. Во-вторых, это шифратор, выполняющий наиболее чувствительные операции внутри защищенного устройства. Даже если злоумышленник украдет ноутбук, он гарантированно не сможет получить доступ к зашифрованным данным без токена и PIN-кода. Заметим, что даже если преступнику удастся похитить мобильный компьютер и сам аппаратный ключ, он все равно будет бессилен, так как токен защищен от перебора PIN-кодов.

Заключение

По данным IDC, кража всего одного корпоративного ноутбука обходится компании в среднем в 4,6 тыс. долларов за аппаратное обеспечение и 46 тыс. долларов за потерянные конфиденциальные документы. Таким образом, именно информация сегодня представляет наибольшую ценность. Чтобы ее защитить, необходимо использовать надежные и проверенные технологии. Самым эффективным средством для этих целей является шифрование. Все остальные подходы могут служить лишь довеском, так как они не гарантируют даже минимального уровня безопасности.
В заключение заметим, что утечка информации в результате кражи ноутбука чревата не только теми 46 тыс., на которые указывает IDC, но еще и ударом по репутации компании, например, если на мобильном компьютере были записаны приватные сведения клиентов или партнеров фирмы. Как следствие, конкурентоспособность компания может быть под угрозой. Таким образом, о безопасности конфиденциальной информации на ноутбуках следует позаботиться заранее.