Уроки "Медиа-МОСТа"

Архив

Ряд событий, происшедших в последние месяцы по одному и тому же сценарию (самыми известными из которых стали налет правоохранительных органов на офисы "Медиа-МОСТа" ...

К сожалению, не секрет, что некоторые (в том числе весьма высокопоставленные) сотрудники правоохранительных органов понимают под интересами государства личные или групповые коммерческие и политические интересы.

В случае с "Медиа-МОСТом" атака была произведена государственными структурами, хотя сам характер атаки и демонстративное нарушение атакующими многих положений Уголовно-процессуального кодекса (позднее зафиксированное судом) показывают, что она имела целью не сбор доказательств, а что-то другое.

Но даже в том случае, если представители правоохранительных органов действуют в соответствии с законом, вероятность того, что полученная ими при обыске информация будет использована незаконно, попадет в руки конкурентов или криминальных структур, достаточно высока.

Дело в том, что, хотя закон и предусматривает ответственность должностных лиц за разглашение конфиденциальной информации, полученной ими в результате взаимодействия с коммерческими структурами [1], на практике такие действия оказываются безнаказанными из-за того, что ответственность определена законом нечетко и с оговорками. Кроме того, не исключается вероятность атаки офиса чисто криминальными структурами без "правоохранительного" прикрытия.

Любой бизнес может очень серьезно пострадать, если информация о нем (а тем более о его клиентах) попадет "не в те руки". Поэтому необходимо строить систему охраны и физической защиты таким образом, чтобы минимизировать возможность получения посторонними лицами чувствительной к утечке или разглашению информации даже в случае физической атаки на офис.

Конечно, то, что будет предложено далее в этой статье, стоит довольно дорого. Но рекомендации рассчитаны на предприятие, во-первых, достаточно крупное (мелкие вряд ли будут атакованы такими силами), а во-вторых, такое, где утечка информации и остановка деятельности может обойтись очень дорого.

"Физика"

Атака "Медиа-МОСТа" показала, по крайней мере, две непростительные слабости в системе защиты предприятия. Нападающие практически мгновенно "вывели из игры" охрану и смогли беспрепятственно дойти до помещений, в которых могла находиться важная информация (как минимум, до кабинета первого лица). Довольно простые меры могли бы предотвратить и первое, и второе, причем обошлись бы, пожалуй, не дороже, чем роскошный интерьер вестибюля "Медиа-МОСТа".

Первая из мер - шлюзовая система доступа. На входе в офис оборудуется шлюзовая камера, вмещающая не более одного-двух человек, причем двери камеры не могут быть открыты одновременно. Этот вход в обычное время должен быть единственным входом в помещение. О том, как организовать запасные выходы на случай пожара и т. п., будет сказано ниже.

Как правило, между первыми и вторыми дверями шлюза находится окно помещения охраны, забранное бронестеклом. Под окном размещается лоток для передачи документов. Важно, чтобы в помещение охраны не было доступа извне офиса: чтобы попасть туда, нападающие должны пройти через шлюз

(в идеале входа в помещение охраны не должно быть и из вестибюля, куда посетитель попадает, пройдя шлюз). План действий охраны на случай вторжения должен предусматривать, что, если нападающие представляются сотрудниками государственных органов, они должны предъявить охране свои документы и документ, на основании которого они требуют доступа в помещение. Эти документы должны быть скопированы, отсканированы или засняты с помощью охранной видеокамеры. Желательно тут же переслать образы документов в центр охраны.

Разумеется, охрана должна тут же подать на центральный пульт сигнал тревоги, по которому запираются все внутренние помещения, блокируются промежуточные двери коридоров и вызываются должностные лица, которые отвечают за общение с государственными органами (а также останавливаются все серверы). В "период риска" в офисе желательно постоянное присутствие дежурного адвоката.

Все помещения офиса должны быть разделены на несколько зон по степени допуска. Двери всех помещений должны быть закрыты на электронные замки, открываемые карточками или другими идентификационными устройствами (в идеале - биометрическими). Если посетителю выдается электронный пропуск, он должен обеспечивать доступ только в помещения с наименьшей степенью допуска. При этом нападающие, чтобы попасть в режимное помещение, поневоле будут вынуждены идти в сопровождении сотрудника фирмы. Все коридоры должны быть разделены на секции, причем ни в одной из секций не допускается одновременное открытие входной и выходной дверей. Двери всех помещений не должны открываться с пульта, находящегося в помещении охраны при входе; централизованное открывание дверей допускается только с центрального пульта охраны. Естественно, что материал дверей и замки не должны допускать быстрого вскрытия. Надо, чтобы на каждую дверь нападающие потратили хотя бы несколько минут.

Система видеонаблюдения помимо постоянно включенных камер на входе, в шлюзах и в помещениях с наиболее строгим режимом (серверная, кросс, помещение, где стоят копировальные аппараты и т. п.) должна иметь резервные камеры во всех помещениях, включаемые на запись по команде с центрального пульта или автоматически при обнаружении несанкционированного проникновения. Эти камеры маскируются, а в наиболее важных помещениях размещаются муляжи камер видеонаблюдения, чтобы нападающие успокоились, выведя их из строя.

Запись того, что происходит в помещениях, необходима, чтобы зафиксировать действия нападающих. Известно, что иногда опаснее не то, что могут найти в помещениях, а то, что могут туда подложить. К тому же эти записи пригодятся при подаче иска, если в процессе обыска будет выведено из строя ценное оборудование или пропадут чьи-нибудь личные вещи.

Во всех режимных помещениях при несанкционированном проникновении должна срабатывать тревожная сигнализация. Уровень звукового давления, создаваемого в помещении сиреной тревожной сигнализации (работающей с переменной частотой в области 0,3-1,5 кГц) должен быть не менее 140 дБ. Крайне желательно дополнить работу сирены включением стробоскопического освещения частотой в несколько герц и выключением основного.

В идеале импульсные лампы стробоскопического освещения должны быть расположены таким образом и включаться в такой последовательности, чтобы создавать эффект "бегущих огней". Вой сирены в сочетании со стробоскопическими вспышками практически исключают какую-либо осмысленную деятельность, не говоря уже о координации действий группы людей. При этом есть смысл вести видеосъемку помещения резервными камерами, включаемыми в момент вспышки. Стоит сделать так, чтобы такой режим автоматически включался и тогда, когда дверь была открыта электронным пропуском сотрудника, но в течение 30-60 секунд после этого сотрудник не ввел свой личный код.

Чтобы обеспечить выполнение требований пожарной безопасности, офис должен иметь запасные выходы. В обычное время они должны быть закрыты и обладать достаточной стойкостью, чтобы удержать нападающих хотя бы несколько минут. Запасные выходы оборудуются несколькими последовательно открываемыми дверями.

При пожарной тревоге все двери офиса открываются командой с центрального пульта охраны. Это должно быть единственным способом одновременно открыть все двери. При этом включаются сирены тревожной сигнализации и резервные камеры видеонаблюдения во всех режимных помещениях. Включение пожарного режима должно обязательно сопровождаться (через несколько минут, если режим не отменен) задействованием системы пожаротушения, о чем следует честно предупредить нападающих, если они потребуют открыть все двери таким способом.

Центральный пульт охраны не следует оборудовать в легкодоступных извне помещениях. Пост, где расположена регистрирующая аппаратура (видеомагнитофоны, компьютеры, в которых фиксируются события в системе охраны, и т. п.), должен находиться отдельно от центрального пульта в режимном помещении. Он может быть расположен в другом здании, причем его местонахождение должно быть известно очень ограниченному кругу людей. В идеале его следовало бы вообще разместить на территории, находящейся вне юрисдикции РФ. Это технически возможно и может обойтись дешевле, чем потеря информации.

"Математика"

Вся чувствительная информация хранится в офисе только в электронной форме на шифрованных разделах дисков. Информационный обмен предприятия, как внутри, так и вовне, организуется с использованием сильной гражданской криптографии.

Твердые копии документов должны уничтожаться немедленно после использования. Бумажные документы, поступающие извне, и такие, хранение которых в виде твердой копии требуется по закону, вводятся в систему в отсканированном виде и вывозятся с территории офиса в хранилище, местонахождение которого должно быть известно крайне ограниченному кругу людей. Хорошо, если для доступа в это хранилище требуется отдельная санкция (то есть оно принадлежит другому юридическому лицу).

Опыт показывает, что при использовании рабочих станций под DOS, Windows 3.х и 9х невозможно полностью исключить несанкционированный доступ к информации (фрагменты шифруемых сообщений могут, например, оставаться в swap-области Windows). Кроме того, распределенное хранение данных не позволяет быстро закрыть их в критической ситуации.

Гораздо надежнее использование бездисковых рабочих станций или терминалов при централизованном хранении данных на сервере [2]. При этом можно, если позволяют финансы, разместить сервер вне юрисдикции РФ. В любом случае там должен находиться резервный сервер, часто и регулярно синхронизируемый с основным.

Чтобы избежать возможности раскрытия шифров из-за наличия фрагментов нешифрованных сообщений в кэшах и swap-области операционной системы сервера, необходимо физически размещать эти файлы и области на съемном жестком диске, который в критической ситуации подлежит уничтожению или размагничиванию нагреванием до точки Кюри [3].

Криптография (шифрование и аутентификация) позволяет помимо защиты от несанкционированного ознакомления с данными избежать провокаций, связанных с добавлением ложной информации.

Ни в коем случае не допускается хранение носителей с резервными копиями данных в том же здании, где и основной вычислительный центр компании [4]. Желательно, чтобы местонахождение этих носителей было известно лишь ограниченному кругу лиц. Впрочем, если есть резервный сервер или вычислительный центр, то эта проблема отпадает сама собой.

Конечно, вышеизложенные рекомендации могут показаться несколько параноидальными. Но ведь они рассчитаны на те случаи, когда ставки очень высоки.

---

1 (обратно к тексту) - В частности, в ходе следственной или оперативно-розыскной деятельности. - Здесь и далее прим. М.О.

2 (обратно к тексту) - Если в силу специфики используемых приложений отказ от "толстых клиентов"/персональных компьютеров под DOS или Windows на каких-то рабочих местах невозможен, стоит поискать средства защиты от несанкционированного доступа, "заворачивающие" локальные диски (партиции) целиком (включая загрузочную партицию и партицию, где расположены cash- и swap-области). Такую архитектуру имеют, например, средства "Кобра" (DOS) и "СпектрZ" (Windows 9x), выпускаемые питерским предприятием "Спектр" (www.cobra.ru), и я буду признателен за указание на другие подобные средства.

3 (обратно к тексту) - Или просто размещать кэш и своп на криптографически защищенных партициях сервера.

4 (обратно к тексту) - Такая мера предосторожности разумна не только на случай атаки злоумышленников, но и для аварийного восстановления данных после серьезной природной или техногенной катастрофы, например, пожара или взрыва.

---

Александр Евтюшкин - независимый эксперт, консультант в области финансовых технологий.