Архивы: по дате | по разделам | по авторам

Антиутопия корпоративного масштаба

автор : Андрей Письменный 31.10.2007

Представьте, что вы попали на семинар специалистов по разработке пыточного оборудования. Примерно такие же впечатления вынесет нормальный человек с конференции по информационной безопасности.

Представьте, что вы попали на семинар специалистов по разработке и изготовлению пыточного оборудования, красочно расхваливающих свои продукты. Примерно такие же впечатления вынесет нормальный человек с конференции по информационной безопасности.

Судя по тем решениям, которые готовы предоставить компании, специализирующиеся в области компьютерной безопасности, на изощрённые средства для борьбы с собственными сотрудниками есть спрос. Убедиться в этом можно было на прошедшей в Москве конференции "Информационная безопасность в современных условиях".

Запреты

Наиболее эффектно, пожалуй, звучали доклады сотрудников WebSense. Первым из них выступил Михаил Прибочий и рассказал о средствах контроля доступа к веб-ресурсам при помощи инструментария, разработанного его компанией.

Свой доклад он начал с анекдота о профессоре, который демонстрировал студентам банку, последовательно пополняемую разными материалами: сперва это крупные камни, потом камешки поменьше, потом песок и, наконец, пиво. Время от времени профессор спрашивает у студентов, полна ли банка, и услышав положительный ответ, продолжает. Покончив с демонстрацией, профессор сравнивает банку с человеческой жизнью, а этапы наполнения - с делами, которые занимают человека: работа, семейная жизнь и так далее. Под конец - банка пива, которая, получается, никогда не лишняя.

По мнению докладчика, выходит неплохая метафора для кругов защиты, которые человек выстраивает вокруг себя, защищая своё здоровье, обеспечивая физическую безопасность, психологический комфорт и так далее. Ко всему этому предлагается добавить безопасность информационную.

"Не хотелось ли бы вам иметь такое устройство, которое бы позволяло ограничить свой круг общения только избранными людьми? - поинтересовался Прибочий у собравшихся в зале. - Хотелось бы? А если бы оно ещё и следило за разговорами жены?". Ну как тут не вспомнить об антиутопиях.

Волшебного устройства в WebSense, к счастью, не изобрели. Зато изобрели хитрую систему защиты офисного работника от всякого рода сетевых угроз. "Сетевой угрозой" её разработчики считают не только вирусы или фишерские сайты. Всё, что отвлекает работника от продуктивного труда на благо компании, приносит не меньше вреда.

"Мы разбили интернет на более чем 90 категорий, и каждая из них - это ресурсы определённой тематики". Доступ к каждой категории можно либо полностью ограничить, либо выделить на неё определённое количество времени. То же самое можно сделать и с программами, и они тоже разбиты на категории. Таким образом можно проконтролировать, чтобы на общение через интернет сотрудник тратил не более, скажем, получаса в день, а игры, к примеру, можно запретить и вовсе.

В Websense изобрели действенный метод для продажи своего детища. Первым делом начальству какой-нибудь компании предлагается пробная версия системы, которая ничего не блокирует, а только следит за действиями сотрудников и собирает статистику. Через пару недель при виде подробного отчёта начальник обычно приходит в ужас и вскоре покупает полнофункциональную систему. "У нас был только один случай, когда сделка сорвалась - начальство посмотрело отчёты и решило вообще отключить интернет," - сообщил Прибочий.

Вспоминая аналогию с заполняющейся банкой, начинаешь понимать, что её в данном случае нужно использовать несколько по-другому. Она должна не заполняться, а опустошаться: сперва у человека отбирают одно, потом другое и так далее. И уж какое тут пиво!

Слежка

Второй доклад WebSense был не менее познавательным. Александр Михайлов рассказывал о "проблеме утечки корпоративных данных и путях её решения". Главный посыл стал ясен практически с первых слов: "самый опасный враг - это наши же сотрудники". Имелось в виду, что кража данных злоумышленниками происходит несравнимо реже, чем утечки информации, в которых виноваты собственные служащие.

В ход пошли очень жизненные примеры. Отправить документ на собственный бесплатный почтовый ящик можно без всякого злого умысла, а уж не заметить, что программа подставила неверный адрес в поле получателя - вообще легче лёгкого. Ещё один распространённый случай - добавление в документ пары строк из электронной таблицы, при котором на самом деле добавляется вся таблица, а отображаются только нужные строки.

Казалось бы, за исключением первого, все эти случаи - следствия человеческой невнимательности или непродуманности программ, которые всем приходится использовать. Но раз уж халатность разной степени преступности всё же случается, лекарство от неё тоже существует.

Михайлов рассказал о продукте WebSense, который может стеречь все возможные каналы - от дисководов и инфракрасных портов до веб-форм и запросов XmlHttpRequest, которыми пользуются новомодные сервисы - ничто не пройдёт незамеченным. Но и это, как говорят в рекламе, ещё не всё.

Главная изюминка - интеллектуальная система, которая способна предупредить службу безопасности компании о том, что на каком-то из компьютеров скопилось излишнее количество конфиденциальной информации. Подозрительно, правда? "Службе безопасности", вероятно, в таком случае стоит проявить бдительность и устроить потенциальному нарушителю что-нибудь вроде допроса с пристрастием.

После доклада из зала послышались робкие вопросы: "не нужно ли ставить пользователей в известность о наличии таких систем" и "не нарушают ли они право на частную жизнь". Оказалось, что докладчик не видит никакой необходимости в защите приватности на службе ("Люди на работе пользуются системами, которые им предоставила компания!"), а что до извещении о слежке - то жаловаться тоже не на что. Раз человек подписал договор о том, что согласен выполнять те или иные условия, он не должен протестовать против лишней проверки.

Идентификация

Конечно, WebSense - не единственная компания, которая предоставляет такие продвинутые системы. Вполне вероятно, что на свете существует и что-нибудь более серьёзное. Но так сложилось, что именно на их докладах удалось побывать. На той же конференции выступал и сотрудник Microsoft. Его звали Юрий Осипов и он рассказывал о современных тенденциях ИТ-угроз.

Слушатели, к примеру, узнали, что уязвимости в ПО больше не проблема номер один. Теперь на первый план вышли целенаправленные атаки, успех которых всецело зависит от наличия администраторских ошибок.

"Мне становится грустно, когда я слышу о добавлении ещё одного средства защиты," - говорит Осипов. По его мнению, комплексный подход к безопасности решает проблему значительно лучше, чем система из многих компонентов. Здесь-то речь и переходит к Microsoft Forefront, который компания так старательно продвигает в последнее время.

Главные козыри этого решения - повсеместно внедряемая идентификация и интеграция с другими продуктами Microsoft: после установки Forefront правила безопасности можно задавать прямо в приложениях.

Обсуждались и минусы системы. Чтобы установить Forefront заказчику понадобятся немалые усилия и вложения. Требуется не только установка и настройка самой системы (которые рекомендуется поручить профессионалам), но и должный уровень подготовки: наличие Active Directory и новые версии Windows.

Что же это даст в итоге? К примеру, такие приятные вещи, как тонко задаваемые привилегии групп пользователей. Один и тот же документ Microsoft Word разные сотрудники увидят по-разному: одни только первые пару абзацев, другие - чуть больше, а весь документ - только избранные.

Оказывается, чтобы погрузиться в мир технологической антиутопии, больше не нужно читать фантастических романов и смотреть кино. Достаточно устроиться на работу в компанию, руководство которой задумывается об информационной безопасности. Впечатления от романа "1984" или кинофильма "Бразилия" покажутся сущей ерундой по сравнению с собственным опытом.