Николай Николаевич Федотов, главный аналитик компании «InfoWatch»

Расследование инцидентов ИБ:
Как расследовать разглашение конфиденциальной информации в блогах и форумах?

У вас произошла утечка конфиденциальной информации? Вскройте красный пакет и действуйте по инструкции!

Актуальность

Конфиденциальную информацию разглашали, выбалтывали и растрёпывали всегда. Сколько существует цивилизация, столько существует и проблема утечек. То, что раньше разбалтывали в кабаке, в борделе и на завалинке, сейчас разглашается в форумах и блогах.

Технический и социальный прогресс несёт новые вызовы для секретности. Слово – не воробей, вылетит – не поймаешь. Написанное пером не вырубишь топором. А набранное на клавиатуре и выпущенное в Интернет – становится неуничтожимым достоянием вечности.

С другой стороны, тот же прогресс вооружил нас новыми средствами обеспечения секретности. С появлением глобальной Сети проще стало слушать чужую болтовню, но проще и следить за своей. Тот и другой процесс можно автоматизировать.

Опасность

Сначала кратко о самой проблеме «выбалтывания» секретов в электронной форме. Решения можно искать на трёх уровнях. В отличие от 7 уровней модели OSI, у модели утечек всего 3 уровня: данных, информации и восприятия.

Таблица. Уровни угроз, связанных с утечкой информации
УровеньПользаВредСредства защиты
1 уровень данных
сам факт общения
Общение и иное социальное взаимодействие означает более комфортные условия на рабочем месте, лучшее моральное состояние сотрудника Личное общение - это трата рабочего времени и казённого трафика Межсетевой экран, фильтрация доступа по URL
2 уровень информации
содержание сведений
Есть возможность посоветоваться с общественностью, совершить контакт, обмен информацией в служебных целях Есть возможность ненамеренно разгласить конфиденциальную информацию DLP-системы1
3 уровень восприятия
трактовка информации
Общаясь в Сети, сотрудники могут тем самым выполнять некоторые пиар-задачи для компании, повышать её узнаваемость, косвенно рекламировать При неаккуратном общении есть возможность дискредитации своего предприятия Человек (сам работник или цензор из отдела PR)

Некоторые пояснения.

Защита на 1 уровне (ограничение протоколов и адресов) проще всего реализуется технически, но создаёт максимум неудобств для выполнения должностных обязанностей. К тому же, не вполне ясна связь между ограничениями доступа и вероятностью разглашения информации.

Помнится, автор был приглашён проконсультировать на предмет информационной безопасности одно предприятие, где застал типичнейшую ситуацию позднесоветского райкомовского мракобесия. «В целях защиты информации» доступ в Интернет открыт только для тех сотрудников, которые имеют разрешение от службы безопасности предприятия. Так гласит утверждённая политика безопасности. Разрешение выдаёт старый проверенный кадр, который, пожалуй, мог успеть ещё поносить в молодости темно-синие петлицы с кубиками. Критерий выдачи «допуска в Интернет» был сформулирован им предельно четко: «Я их всех насквозь вижу!» Полагаю, читатель сам догадается, кто из работников в результате имел возможность общаться в глобальной сети, кто не имел, а кто – имел, но не афишировал этого факта.

На данном примере мы видим всю сложность задачи. Бороться нам надо с утечками, а ограничивать мы можем – протоколы и адреса. Всё равно как бороться с заразными заболеваниями только при помощи управления дорожным движением.

На 2 и 3 уровнях как предотвращение, так и расследование утечек затруднено тем, что ознакомление постороннего лица с содержанием передаваемой информации является нарушением права на тайну связи (ч.2 ст.23 Конституции РФ). Нарушением считается ознакомление постороннего лица с содержанием сообщения. Сотрудник службы защиты информации как раз и есть тот посторонний, то есть не отправитель и не получатель. Обойти этот запрет можно – есть несколько способов. Хотя ни один из них не идеальный. Подробнее проблема тайны связи описана в иных работах автора, сейчас на ней останавливаться не будем.

К счастью, на этом уровне кроме «человеческого» контроля возможен и автоматизированный. Программы уже научились находить в потоке данных не просто заданные слова, но заданные темы.

Как всякому понятно, на 3-м уровне автоматизированная фильтрация невозможна. Принимать решения о корректности и степени конфликтности информации может только человек. Чаще этот человек – сам пишущий работник, но от обычного работника он отличается тем, что предварительно был тщательно проинструктирован в отделе общественных связей с демонстрацией наглядных примеров на тему «нехай клевещут». А особо некоторые организации могут себе позволить специального пиар-цензора, который будет не только взращивать и пестовать в каждом работнике цензора внутреннего, но и реально «фильтровать чужой базар», хотя бы только при общении со СМИ2. Кстати, автор данных строк непосредственно и невозбранно общался с редактором данного издания по электронной почте, но текст статьи, когда он будет готов, пошлёт в журнал не напрямую, а через специального человека в отделе маркетинга компании «InfoWatch», который этот текст перед отправкой в журнал просмотрит на предмет «как бы чего не вышло».

В зависимости от того, на каком уровне работает ваша защита, используются разные методы расследования. В данном случае инцидентом считается преодоление этой защиты или попытка её преодоления.

Выявление

Во-первых, попытка публикации в Сети конфиденциальной информации или хотя бы попытка переслать такую информацию в незашифрованном виде будет выявлена при использовании DLP-систем.





Рис.1. Пример работы DLP-системы (системы защиты от отечек конфиденцияльной информации)

В перечень поисковых образцов для DLP-системы можно внести как сочетания общих слов, характеризующих конфиденциальные документы, так и конкретные названия, номера, цитаты из этих документов. Например, такие:

планируемая цена
директор – гей
секретно
приказ №004
приступить к ликвидации

Во-вторых, уже свершившееся разглашение может быть выявлено при изучении сетевых публикаций. Лучше всего делать это через поисковые системы3. Как специалисты-пиарщики, так и безопасники обычно формируют несколько запросов к поисковым системам, содержащих нужные ключевые слова. Такие запросы повторяются еженедельно или чаще. Но лучше не повторять их вручную, а подписаться на соответствующий сервис. Поисковик сам будет присылать обновления, соответствующие вашим запросам.

Например, предприятие, выпускающее колбасы под товарным знаком «Каганович», считает неправильным, чтобы его сотрудники обнародовали информацию о составе выпускаемой продукции. Тогда сотрудник службы общественных связей формирует такой запрос к поисковым системам:

Каганович & колбаса & (ингредиент | компонент) & состав & исследование & обнаружить

и регулярно просматривает вновь найденные ссылки. Но при этом было бы ошибкой разглашать секрет производства (ноу-хау), прямо указывая в поисковом запросе конфиденциальную информацию, вот так:

Каганович & колбаса & состав & бумага & "крысиное мясо"

Также можно поставить на контроль запросы, содержащие сетевые псевдонимы работников предприятия. Всё, что они напишут под своим сетевым ником, вскоре ляжет на экран цензору из отдела общественных связей и подвергнется придирчивому разбору.

Предотвращение

Хотя данная статья посвящена расследованию инцидентов, об их предотвращении, всё же надо сказать несколько слов. Только самое важное.

Утечки конфиденциальной информации – это проблема экономическая и социальная. Решать её нужно адекватными средствами – экономическими и социальными (организационными). Сказано: «подобное лечи подобным». Утечки совершаются не компьютерами, а людьми. Для их предотвращения и работать надо с людьми.

Применять только технические средства (типа DLP-систем) для решения нетехнических проблем бесполезно, ибо вместо решения будут лишь прибавляться неприятные побочные эффекты. Против утечек применять следует экономические и организационные меры. Технические же средства могут служить не более чем инструментами последних.

Расследование

Первым этапом расследования является определение типа утечки – намеренная она или случайная. Опыт показывает, что на сегодняшний день порядка 3/4 всех утечек конфиденциальных данных происходит ненамеренно – в силу ошибок, безалаберности, легкомыслия работников.



Рис.1. Ненамеренных утечек больше.
Распределение причин утечек конфиденциальной информации за 2007 год. Источник - компания InfoWatch


Алгоритмы расследования утечки намеренной и утечки случайной сильно различаются.

Намеренная утечка

Седьмой пункт может показаться неоправданно трудоёмким. На самом деле он самый важный. Опыт свидетельствует, что в тех редких случаях, когда источник утечки выявляется техническими средствами (чаще – социальными или правовыми), решающую роль в этом играют «цифровые следы», снятые на самых ранних этапах. Позволю себе проиллюстрировать это примером.

В крупной компании «К» произошёл инцидент: кто-то слил журналистам информацию о вопиющих недостатках используемой билинговой системы. От журналиста информация, однако, попала не в прессу, а к мошенникам, которые воспользовались указанными недостатками и, обманув систему расчётов, незаконно получили с компании «К» изрядную сумму. Начались поиски инсайдера. Руководитель отдела технической защиты информации велел, в частности, скопировать и сохранить для дальнейшего изучения логи корпоративного сервера электронной почты, которые в обычном режиме хранились 10 суток. Неужели он предполагал, что инсайдер настолько глуп, что будет отправлять конфиденциальную информацию по e-mail с казённого аккаунта? В принципе, такое тоже встречается. Но на подобную удачу никто не рассчитывал. Конечно, никаких подозрительных сообщений изнутри офиса на внешние адреса не было зафиксировано. Логи сохранили «на всякий случай». И такой случай настал. Когда через несколько дней служба безопасности «К» по своим каналам выяснила адрес e-mail причастного к утечке журналиста, этот адрес обнаружился в сохранённых логах. Было всего одно письмо, но не изнутри наружу, а наоборот – от журналиста инсайдеру. Письмо вполне безобидного содержания. Но именно оно позволило инсайдера вычислить.

Расследование инцидента обычно проводится гласно (имеется в виду «гласность» внутри коллектива, выносить сор из избы вряд ли стоит). Имеет смысл скрывать только сведения об уязвимостях в информационной системе, настройки средств защиты информации и тому подобные сведения, позволяющие обойти защиту. От сокрытия факта утечки, её последствий и виновных лиц никаких выгод не будет.

Случайная утечка

Бывает, что «случайная» утечка – это на самом деле способ легализации похищенной информации. Был такой случай. Поймали малолетнего «хакера», который воровал и использовал чужие пароли на коммутируемый (dial-up) доступ в Интернет. Поймали его именно на использовании чужих аккаунтов, а не на взломе компьютеров. Он, оправдываясь, стал утверждать, что все пароли обнаружил на общедоступном веб-сайте и даже указал такой сайт (который, как впоследствии оказалось, сам же и разместил). У данного хитреца трюк не прошёл, ибо рассчитан был не на наш мир, а на какой-то виртуальный. Здесь, в этом мире ему никто и не думал верить. Работники милиции громко произнесли положенные заклинания, приложив волшебную резиновую палочку к нужным частям тела подозреваемого – и истина была установлена.

Но в другом известном автору случае подобный трюк оказался к месту. Работник одной крупной медицинской фирмы (сеть клиник) из США продал конфиденциальные данные пациентов. Понимая, что факт утечки вскоре обнаружится, когда эти данные начнут использовать конкуренты, он инсценировал «случайную утечку». Обратился в полицию и заявил, что неизвестные украли ноутбук с информацией из его машины на стоянке возле супермаркета. Такие кражи носят массовый характер, и поймать вора (иначе чем на месте преступления) никто даже не рассчитывает. Зато бюрократическая машина в США работает исправно. Заявление приняли, дело завели, утечка информации приобрела официальный статус и стала считаться «ненамеренной», пострадавших оповестили. Инсайдер имел все шансы на успех, он отделался бы дисциплинарным взысканием, если бы его не сдал через полгода другой инсайдер – из фирмы-конкурента, купившей информацию.

Выводы

Когда у автора спрашивают, какие угрозы опаснее, внешние или внутренние, он приводит известную цитату из доклада одного политического деятеля, имя которого на всякий случай опустим (во избежание «экстремизма» и «разжигания»). Он сказал: «Товарищи спрашивают, какой уклон хуже – правый или левый. Нельзя так ставить вопрос. Оба они – хуже!»

Случайное или умышленное разглашение конфиденциальной информации работниками предприятия, а равно нецелевое использование информационных ресурсов и неосторожные публичные выступления в Интернете – это распространённые инциденты безопасности. В развитых странах они влекут порою достаточно крупный ущерб. И в России ситуация постепенно приближается к такой же. Стоимость информации растёт. Поэтому усиливается внимание к защите от внутренних угроз, всё чаще используются DLP-системы. И среди инцидентов безопасности, которые расследует служба защиты информации, чаще попадаются инциденты описанного типа.

И в заключение пример из богатой практики автора.

Инцидент произошёл на одном провинциальном предприятии, офис которого был подключён к Интернету по тарифу, учитывающему объём трафика. Однажды месячный лимит оказался сильно превышен, что обошлось предприятию в дополнительную, хотя и не очень крупную сумму. Руководитель велел сисадмину провести расследование по классической схеме: что случилось, кто виноват, что делать.

Для начала сисадмин вынужден был признаться самому себе, что его оборудование способно фиксировать лишь общий объём трафика, без детализации по сервисам, пользователям и ресурсам. За детализацией он обратился к провайдеру, но у провайдера обнаружилась та же печальная картина. Немного подумав, админ написал аплинку – магистральному провайдеру. У того статистика трафика велась, и он согласился поделиться информацией. При анализе статистики оказалось, что превышением месячной нормы они обязаны скачиванию «тяжёлого» контента с известного сайта «multiki.arjlover.net». Для доступа в Интернет из офиса использовалась трансляция (NAT) в один внешний IP-адрес и, к счастью, логи трансляции сохранились. Так установили сотрудника, который накачал им лишнего трафика.

По итогам расследования сисадмин выдвинул начальству два предложения. Первое: заблокировать доступ из офиса к сайтам с объёмным контентом. Второе: автоматически включать шейпинг канала в случае, если объём трафика достигнет 150% от среднемесячной нормы. Но начальник отверг оба эти варианта и взамен выдвинул свой: уволить работника, качавшего видеофайлы. Так он и сделал.

Итоги расследования: однажды реализовавшаяся угроза осталась в прежнем виде и когда-нибудь реализуется ещё раз, а уволенный сотрудник вскоре восстановился через суд, поскольку не удалось представить доказательств нарушения им условий трудового договора.


Примечания