USB: черная дыра в системе безопасности
Уделяя огромное внимание защите компьютерной сети со стороны
Интернета, специалисты по информационной безопасности зачастую не замечают
массы прочих точек доступа в корпоративную сеть, которые, как правило,
никак не защищены.
Ежедневно корпоративная сеть любого банка или компании сталкивается с
потенциальными опасностями. По большому счету, их можно разделить на две
группы: угроза нормальной работоспособности, связанная с нарушением работы
корпоративной сети, и опасность потери или несанкционированного доступа к
информации, представляющей ценность для компании или являющейся ее
собственностью. В первом случае речь идет о вирусных атаках из Интернета, а
также сбоях в работе программного обеспечения. Что касается второй группы,
мы можем говорить о потере информации как из-за сбоев в работе программного
обеспечения и компьютерного оборудования, так и из-за недобросовестности
сотрудников. Нельзя сбрасывать со счетов и возможность предумышленного
уничтожения или копирования информации.
Разумеется, банки и компании во всем мире борются с потенциальными
угрозами, наибольшее внимание уделяя внешним атакам — вирусам и хакерам.
Практически любая компания обладает системой контроля и фильтрации файлов,
поступающих из Интернета. Такая система проверяет надежность отправителя
информации и наличие в ней возможных вирусов. Одновременно она следит за
исходящим трафиком, контролируя действия сотрудников и разрешая им доступ
только к вызывающим доверие ресурсам. Уделяя огромное внимание защите
компьютерной сети со стороны Интернета, специалисты по информационной
безопасности зачастую не замечают массы прочих точек доступа в
корпоративную сеть, которые, как правило, никак не защищены.
Речь идет о дисководах, CD-приводах, разъемах для подключения
периферийных устройств, таких как ZIP и USB. Компакт-диски, дискеты,
ZIP-диски и огромный спектр устройств, подключаемых по USB: mp3-плееры,
цифровые фотокамеры, флеш-карты и другие портативные носители информации,
используемые сотрудниками как в рабочих, так и в личных целях, представляют
собой потенциальную угрозу безопасности компании. Во-первых, программы и
файлы, переписываемые сотрудниками, могут содержать вирусы. В отличие от
файлов, поступающих через Интернет или по электронной почте, они не
сканируются системой безопасности корпоративной сети и могут моментально
распространиться по компьютерам, входящим в сеть и нанести большой урон
работе компании, а то и вовсе парализовать ее. Нельзя быть уверенным в
абсолютной добросовестности сотрудников компании — кто-то из них вполне
может переписать конфиденциальную информацию на один из множества доступных
в последнее время носителей информации и воспользоваться ею в своих целях:
заметить факт копирования информации, а уж тем более факт выноса носителя с
информацией за пределы здания практически невозможно.
Украденная таким образом информация — в первую очередь удар по репутации
компании, связанный с огромными финансовыми потерями. Доказать факт кражи
информации зачастую бывает весьма сложно, особенно учитывая противоречивое
местами законодательство, касающееся информационной безопасности.
Какие методы борьбы с потенциальной угрозой возможны? Наиболее простыми
и эффективными кажутся, как всегда, простые запретительные меры. Из
компьютеров сотрудников извлекаются дисководы и CD-приводы, обрезаются
провода, соединяющие разъемы периферийных устройств с материнской платой,
устанавливаются заглушки на USB-порты. Подобные меры, конечно, эффективны:
компьютер оказывается попросту изолированным от внешнего мира. Единственной
связующей ниточкой остается корпоративная сеть, которая находится под
полным контролем IT-отдела. Однако существует и обратная сторона. Во-первых,
справедливое возмущение со стороны персонала, который заочно обвиняют в
недобросовестности, нелояльности по отношению к компании и
некомпетентности. Случаи, когда CD-привод или USB-разъем используются для
записи безобидных mp3-файлов или фотографий, составляют, разумеется,
подавляющее большинство. Во-вторых, «изоляционистский» подход может нанести
серьезный урон работе. Конфиденциальная информация или большие объемы
информации зачастую не передаются по электронной почте — их проще привезти
в компанию на каком-либо информационном носителе. Если же доступ к
корпоративной сети извне будет свободен лишь на компьютере IT-службы или
руководства, это затормозит работу и дискредитирует саму компанию.
Более разумными кажутся комплексные меры, которые, с одной стороны, с
высокой вероятностью обеспечивают информационную безопасность компании, а с
другой — не ущемляют прав сотрудников и не вносят неудобств в рабочий
процесс.
Конечно, придется ограничить использование сотрудниками собственных
портативных устройств, что сразу снимет б€ольшую часть проблем.
Одновременно необходимо обеспечить им доступ к корпоративным портативным
носителям информации, которые в свою очередь будут подлежать строгому учету
и контролю. Основная проблема заключается в том, что контролировать, кто,
когда и что загружает в свой компьютер с портативных носителей, очень
непросто, однако на рынке уже существуют программные средства, позволяющие
решить эту проблему, например DeviceLock от компании SmartLine
(www.smartline.ru).
DeviceLock позволяет контролировать доступ пользователей к дисководам
жестких дисков и CD-ROM, магнитооптическим накопителям, WiFi- и
Bluetooth-адаптерам, а также любым устройствам, подключаемым к компьютеру
через коммуникационные порты (последовательные, параллельные, USB, FireWire,
IrDA). Для наиболее часто используемых сегодня USB-устройств программа
открывает дополнительные возможности контроля, в частности позволяет
использовать устройства только в режиме чтения или ограничить круг
допустимых устройств (например, разрешить пользоваться клавиатурой, мышью и
принтером, но запретить подключение накопителей, mp3-плееров и т. п.).
Таким образом, технические средства, позволяющие проводить взвешенную
политику в области ограничения доступа персонала к корпоративной сети, на
рынке существуют. В то же время это не отменяет элементарных
организационных мер.
Доступ сотрудников к сетевым ресурсам, программам и данным жестко
ограничивается должностными обязанностями: сотруднику закрывается доступ к
тем данным и программам, которые не нужны для выполнения поставленных перед
ним задач.
Разумеется, следование данным рекомендациям не может полностью устранить
описанные выше риски, но способно в значительной степени их снизить.
По материалам компании «Смарт Лайн Инк»
|
