Пользуетесь компьютером? Защищайте информацию!
Aladdin
Инциденты в области утечки данных не так часто становятся достоянием широкой общественности. Однако пример, произошедший в прошлом месяце, поражает своим масштабом и беспечностью госорганизации, оперирующей персональными данными граждан. Речь идёт об утере двух компьютерных дисков, содержащих персональную информацию обо всех получателях детских пособий в Великобритании — а это 25 млн. человек и 7,25 млн. семей. Диски утеряны управлением страны по налогам и таможенным пошлинам (HMRC). Персональные данные включали имя, адрес, дату рождения, номера полисов страхования, а также, во многих случаях, подробности о счетах в банках.
Эта утечка — далеко не первый инцидент такого рода. Та же HMRC в сентябре 2007 г. потеряла данные 15 тыс. жителей страны, а также ноутбук с персональными данными еще 20 тыс.
Безответственность, с которой многие компании и социальные учреждения относятся к защите корпоративной или частной информации, мягко говоря, удивляют. Информация сегодня является основной ценностью для любой сферы деятельности – будь то бизнес-проект или сфера медицинского обслуживания. Так ли уж важна стоимость украденного ноутбука, если на нём были сохранены реквизиты для доступа к банковским счетам, документы по разработке инновационных технологий, финансовые планы, персональные данные граждан, даже не подозревающих о том, в чьих руках сейчас находится их приватные документы? То же самое касается и интеллектуальной собственности.
В моей практике был случай, когда в нашу компанию обратился не молодой уже фотограф, столкнувшийся с целенаправленной, по его словам, кражей его персонального ноутбука. Он собирался отправиться на очередную выставку фото-работ, где в галерее, отведенной российским фотографам, должен был представлять и его экспозицию. По задумке организаторов, помимо настенных фотографий, в зале должна была проводится инсталляция фотографий, показываемых с проектора. Естественно, он сохранил нужные снимки на собственном ноутбуке. К сожалению, оставив машину без присмотра к гостиничном кафе, фотограф лишился и самого лэптопа, и фотографий, и цели поездки. Самое интересное, что позже фотограф увидел свои снимки в Интернете, на платном сайте, занимающимся продажей clip art – библиотек с тематическими фотографиями. Естественно никакого указания на авторство снимки не содержали. Позвонив нам, расстроенный фотограф просил только одного – если уж компьютер украдут, пусть хотя бы доступа к содержимому не получит никто.
Это лишь частный случай. В более глобальном масштабе, как показано на примере выше, такая утечка может стоить компании, ведомству или соцучреждению не только репутационного, но и прямого финансового ущерба. Не лучше ли предотвратить пожар, чем пытаться устранить подчас разрушительные последствия?
Сохраняя, защищай
Проблема защиты информации от несанкционированного попадания в посторонние руки касается не только крупных организаций, защищающих свою информацию от конкурентов, недобросовестных сотрудников, злоумышленников, преследующих самые разные цели – от обогащения до промышленного шпионажа. Каждый человек, использующий компьютер в качестве рабочего инструмента - для доступа к информационным богатствам Интернета или просто для проведения досуга, имеет на своем компьютере важную личную информацию. И здесь дело даже не в рыночной стоимости этой информации, а в соблюдении приватности своей личной жизни (для некоторых людей - значительной её части). Иногда украденные у кандидата в доктора наук диссертация или личная переписка наносят больший эмоциональный урон, чем потеря клиентской базы владельцем бизнеса!
С развитием мобильных компьютерных систем и широким распространением мобильных носителей информации риск утери или кражи такого устройства со всей хранящейся на нём информацией крайне высок. Но, если купить новое устройство взамен утраченного не представляет большой проблемы, то написать заново курсовую работу, восстановить аттестационные листы, "поднять" базу данных по учащимся или любую другую объёмную работу весьма сложно. Не менее неприятно и то, что эти данные могут быть уже выложены "доброжелателями" в сети, предлагаться ими за определенную сумму или использоваться, допустим, в целях шантажа.
Что делать?
Чтобы не думать о том, кто может воспользоваться вашими трудами в случае, если вы всё-таки потеряли их вместе с носителем, наиболее разумным является превентивный метод защиты, а именно шифрование информации. Если у вас украдут зашифрованную флешку, посторонние смогут прочитать вашу информацию лет через 1000 (при использовании надежных криптоалгоритмов быстрее взломать ключ шифрования не получится). Даже если кто-то потратит время на подбор ключа шифрования, эта информация будет представлять собой интерес разве что для будущих археологов. При этом не стоит думать, что для работы с современными продуктами и решениями использующими криптографию, требуется особая компетенция и глубокие знания предметной области. Это в прошлом. Ответом разработчиков таких технологий на постоянный рост прецедентов по утечке данных стал выпуск максимально адаптированных персональных продуктов, при этом не уступающих в надежности корпоративным решениям для обеспечения информационной безопасности.
Применение систем шифрования решает и задачу ограничения доступа к конфиденциальной информации – никто посторонний, получив доступ к вашему компьютеру, прочитать ваши закрытые данные не сможет. А некоторые системы шифрования (например, Secret Disk. компании Aladdin) также не дадут постороннему уничтожить или повредить зашифрованные данные – они хранятся на диске в зашифрованном виде и доступны посторонним только в режиме read-only (естественно, посторонний человек может их прочитать только в зашифрованном виде, который можно сравнить разве что с бессмысленным набором символов).
Законный владелец данных может получать к ним полный доступ, но только после того, как докажет свои права. В ряде решений, например в уже упомянутом нами Secret Disk, для этого используется электронный USB-ключ (см. рис №1), являющийся аналогом смарт-карты для подтверждения личности. При утере аппаратного USB-ключа доступ к данным можно восстановить, только используя заранее сохраненную резервную копию мастер-ключа шифрования. Без такой резервной копии восстановить доступ к данным невозможно (если не рассматривать возможность прямого подбора мастер-ключа, что займет не один десяток лет работы современного супер-компьютера).
Как выбрать?
Первое, на что стоит обратить внимание при выборе продукта для защиты своего ноутбука или рабочего ПК – это возможность шифрования системного раздела. Как известно, системный раздел содержит значительные объёмы информации, в том числе конфиденциальные и персональные данные, среди которых могут быть пароли, временные файлы приложений, файлы подкачки операционной системы, временные файлы Интернет-браузера, файлы-журналы приложений и т.п. Наиболее полным функционалом с этой точки зрения обладает программно-аппаратное решение Secret Disk 4 производства российской компании Aladdin. Технологическая проработанность и простота в эксплуатации продукта – результат многолетнего развития линейки продуктов для защиты данных, чем Aladdin занимается с 1998 года. В четвертой версии продукта значительно расширен функционал, повышена надежность и отказоустойчивость.
Стремясь обеспечить бесперебойную работу продукта, разработчики Secret Disk 4 реализовали возможность восстановления главной загрузочной записи (Master Boot Record - MBR) в случае аварии, связанной с её повреждением из-за сбоя электропитания, перезаписи программами сторонних разработчиков, заражения вирусами и т.п.
Для владельцев ноутбуков новый Secret Disk 4 обеспечивает дополнительную безопасность, поддерживая "спящий" режим ( "Hibernation"). Образ оперативной памяти, сохраняемый в этом режиме на жёсткий диск, записывается в зашифрованном виде. Также в зашифрованном виде сохраняется образ оперативной памяти (dump file) в случае сбоев операционной системы. Ещё одной удобной возможностью для пользователей мобильных ПК является режим экономии заряда батарей во время проведения ресурсоёмких операций по шифрованию.
Остаётся лишь добавить, что применение таких технологий – это требование сегодняшнего дня. И если вы не хотите облегчить задачу злоумышленнику или случайно стать жертвой собственной невнимательности, пользуйтесь системами защиты, не идите на неоправданные риски.