Банковская деятельность всегда была связана с обработкой и хранением большого количества конфиденциальных данных. В первую очередь это персональные данные о клиентах, об их вкладах и обо всех осуществляемых операциях.
Вся коммерческая информация, хранящаяся и обрабатываемая в кредитных организациях, подвергается самым разнообразным рискам, связанным с вирусами, выходом из строя аппаратного обеспечения, сбоями операционных систем и т.п. Но эти проблемы не способны нанести сколько-нибудь серьезный ущерб. Ежедневное резервное копирование данных, без которого немыслима работа информационной системы любого предприятия, сводит риск безвозвратной утери информации к минимуму. Кроме того, хорошо разработаны и широко известны способы защиты от перечисленных угроз. Поэтому на первый план выходят риски, связанные с несанкционированным доступом к конфиденциальной информации (НСД).
Несанкционированный доступ — это реальность
На сегодняшний день наиболее распространены три способа воровства конфиденциальной информации. Во-первых, физический доступ к местам ее хранения и обработки. Здесь существует множество вариантов. Например, злоумышленники могут забраться в офис банка ночью и украсть жесткие диски со всеми базами данных. Возможен даже вооруженный налет, целью которого являются не деньги, а информация. Не исключена ситуация, когда сам сотрудник банка может вынести носитель информации за пределы территории.
Во-вторых, использование резервных копий. В большинстве банков системы резервирования важных данных основаны на стримерах. Они записывают создаваемые копии на магнитные ленты, которые потом хранятся в отдельном месте. Доступ к ним регламентируется гораздо более мягко. При их транспортировке и хранении относительно большое количество человек может снять с них копии. Риски, связанные с резервным копированием конфиденциальных данных, нельзя недооценивать. Например, большинство экспертов уверено, что появившиеся в продаже в 2005 году базы данных проводок Центрального Банка РФ были украдены именно благодаря снятым с магнитных лент копиям. В мировой практике известно немало подобных инцидентов. В частности, в сентябре прошлого года сотрудники компании Chase Card Services (подразделение JPMorgan Chase & Co.), поставщика кредитных карт, по ошибке выкинули пять магнитных лент с резервными копиями, содержащими информацию о 2,6 млн. владельцев кредитных счетов Circuit City.
В-третьих, наиболее вероятный способ утечки конфиденциальной информации — несанкционированный доступ сотрудниками банка. При использовании для разделения прав только стандартных средств операционных систем у пользователей нередко существует возможность опосредованно (с помощью определенного ПО) целиком скопировать базы данных, с которыми они работают, и вынести их за пределы компании. Иногда сотрудники делают это без всякого злого умысла, просто чтобы поработать с информацией дома. Однако такие действия являются серьезнейшим нарушением политики безопасности и они могут стать (и становятся!) причиной огласки конфиденциальных данных.
Кроме того, в любом банке есть группа людей, обладающих в локальной сети повышенными привилегиями. Речь идет о системных администраторах. С одной стороны, это необходимо им для выполнения служебных обязанностей. Но, с другой стороны, у них появляется возможность получить доступ к любой информации и «замести следы».
Таким образом, система защиты банковской информации от несанкционированного доступа должна состоять как минимум из трех подсистем, каждая из которых обеспечивает защиту от своего вида угроз. Это подсистема защиты от физического доступа к данным, подсистема обеспечения безопасности резервных копий и подсистема защиты от инсайдеров. И желательно не пренебрегать ни одной из них, поскольку каждая угроза может стать причиной разглашения конфиденциальных данных.
Банкам закон не писан?
В настоящее время деятельность банков регламентируется федеральным законом «О банках и банковской деятельности». В нем, помимо всего прочего, вводится понятие «банковская тайна». Согласно ему любая кредитная организация обязана обеспечивать конфиденциальность всех данных о вкладах клиентов. За их разглашение она несет ответственность, включая возмещение причиненного утечкой информации ущерба. При этом никаких требований к безопасности банковских информационных систем не предъявляется. Это значит, что все решения по защите коммерческих данных банки принимают самостоятельно, основываясь на опыте своих специалистов или сторонних компаний (например, осуществляющих аудит информационной безопасности). Единственной рекомендацией является стандарт ЦБ РФ «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения». Впервые он появился в 2004 году, а в 2006 был принят новый его вариант. При создании и доработке этого ведомственного документа использовались действующие российские и международные стандарты в области информационной безопасности.
ЦБ РФ может только рекомендовать его другим банкам, но не может настаивать на обязательном внедрении. Кроме того, в стандарте мало четких требований, определяющих выбор конкретных продуктов. Он, безусловно, важен, но в данный момент не имеет серьезного практического значения. Например, про сертифицированные продукты в нем сказано так: «...могут использоваться сертифицированные или разрешенные к применению средства защиты информации от НСД». Соответствующий список отсутствует.
Перечислены в стандарте и требования к криптографическим средствам защиты информации в банках. И вот здесь уже есть более-менее четкое определение: «СКЗИ... должны быть реализованы на основе алгоритмов, соответствующих национальным стандартам РФ, условиям договора с контрагентом и(или) стандартам организации». Подтвердить соответствие криптографического модуля ГОСТ 28147—89 можно путем сертификации. Поэтому при использовании в банке систем шифрования желательно применять сертифицированные ФСБ РФ программные или аппаратные криптопровайдеры, то есть внешние модули, подключающиеся к программному обеспечению и реализующие сам процесс шифрования.
В июле прошлого года был принят федеральный закон Российской Федерации «О персональных данных», который вступил в действие 1 января 2007 года. Некоторые эксперты связывали с ним появление более определенных требований к банковским системами защиты, поскольку банки относятся к организациям, обрабатывающим персональные данные. Однако сам закон, безусловно очень важный в целом, на сегодняшний день не применим на практике. Проблема заключается в отсутствии стандартов защиты приватных данных и органов, которые могли бы контролировать их исполнение. То есть получается, что в настоящее время банки свободны в выборе систем защиты коммерческой информации.
Защита от физического доступа
Банки традиционно уделяют очень большое внимание физической безопасности операционных отделений, отделений хранения ценностей и т.п. Все это снижает риск несанкционированного доступа к коммерческой информации путем физического доступа. Однако офисы банков и технические помещения, в которых размещаются серверы, по степени защиты обычно не отличаются от офисов других компаний. Поэтому для минимизации описанных рисков необходимо использовать систему криптографической защиты.
Сегодня на рынке имеется большое количество утилит, осуществляющих шифрование данных. Однако особенности их обработки в банках предъявляют к соответствующему ПО дополнительные требования. Во-первых, в системе криптографической защиты должен быть реализован принцип прозрачного шифрования. При его использовании данные в основном хранилище всегда находятся только в закодированном виде. Кроме того, эта технология позволяет минимизировать затраты на регулярную работу с данными. Их не нужно каждый день расшифровывать и зашифровывать. Доступ к информации осуществляется с помощью специального ПО, установленного на сервере. Оно автоматически расшифровывает информацию при обращении к ней и зашифровывает перед записью на жесткий диск. Эти операции осуществляются прямо в оперативной памяти сервера.
Во-вторых, банковские базы данных очень объемны. Таким образом, криптографическая система защиты информации должна работать не с виртуальными, а с реальными разделами винчестеров, RAID-массивами и прочими серверными носителями информации, например, с хранилищами SAN. Дело в том, что файлы-контейнеры, которые могут подключаться к системе в качестве виртуальных дисков, не предназначены для работы с большими объемами данных. В том случае, когда виртуальный диск, созданный из такого файла, имеет большой размер, при обращении к нему одновременно даже нескольких человек можно наблюдать значительное уменьшение скорости чтения и записи информации. Работа же нескольких десятков человек с файлом-контейнером большого объема может превратиться в сущее мучение. Кроме того, нужно учитывать, что эти объекты подвержены риску повреждения из-за вирусов, сбоев файловой системы и т.д. Ведь, по сути, они представляют собой обычные файлы, но довольно большого размера. И даже небольшое их изменение может привести к невозможности декодирования всей содержащейся в нем информации. Оба этих обязательных требования существенно сужают круг подходящих для реализации защиты продуктов. Фактически сегодня на российском рынке имеется лишь несколько таких систем.
Подробно рассматривать технические особенности серверных систем криптографической защиты информации нет необходимости, поскольку в одном из прошлых номеров мы уже сравнивали эти продукты. (Столяров Н., Давлетханов М. UTM-защита. «Директор ИС», №5, 2007) Но стоит отметить некоторые особенности таких систем, наличие которых желательно для банков. Первая связана с уже упомянутой сертификацией используемого криптографического модуля. Соответствующее программное или аппаратное обеспечение уже есть в большинстве банков. Поэтому система серверной защиты информации должна предусматривать возможность их подключения и использования. Вторым особым требованием к системе защиты информации является возможность интеграции в систему физической безопасности офиса и/или серверной комнаты. Это позволяет защитить информацию от несанкционированного доступа, связанного с кражей, взломом и т.п.
Особое внимание в банках должно уделяться сохранности информации, поскольку она фактически является деньгами клиентов. Поэтому в системе защиты должны быть предусмотрены специальные возможности, минимизирующие риск ее утери. Одной из самых заметных является функция определения испорченных секторов на жестком диске. Кроме того, большую важность имеет возможность приостановки и отмены процессов первоначального зашифровывания диска, его расшифровывания и перешифровывания. Это довольно длительные процедуры, любой сбой во время которых грозит полной потерей всех данных.
Очень большое влияние на риски, связанные с несанкционированным доступом к конфиденциальной информации, имеет человеческий фактор. Поэтому желательно, чтобы система защиты предусматривала возможность уменьшения такой взаимосвязи. Достигается это путем использования надежных средств хранения ключей шифрования — смарт-карт или USB-ключей. Оптимальным является вхождение этих токенов в состав продукта, оно позволяет не только оптимизировать затраты, но и обеспечивает полную совместимость программного и аппаратного обеспечения.
Другой важной функцией, позволяющей минимизировать влияние человеческого фактора на надежность системы защиты, является кворум ключей. Суть его заключается в разделении ключа шифрования на несколько частей, каждая из которых отдается в пользование одному ответственному сотруднику. Для подключения закрытого диска требуется наличие заданного количества частей. Причем оно может быть меньше общего числа частей ключа. Такой подход позволяет обезопасить данные от нецелевого использования ответственными сотрудниками, а также обеспечивает необходимую для работы банка гибкость.
Защита резервных копий
Регулярное резервирование всей хранящейся в банке информации — абсолютно необходимая мера. Она позволяет существенно снизить убытки в случае возникновения таких проблем, как порча данных вирусами, выход из строя аппаратного обеспечения и т.п. Но в то же время она усиливает риски, связанные с несанкционированным доступом. Практика показывает, что носители, на которые записываются резервные копии, должны храниться не в серверной комнате, а в другом помещении или даже здании. В противном случае при возникновении пожара или другого серьезного инцидента безвозвратно утерянными могут оказаться как сами данные, так и их архивы. Надежно защитить резервные копии от несанкционированного использования можно только с помощью криптографии. В этом случае, храня ключ шифрования у себя, офицер безопасности может спокойно передавать носители с архивами техническому персоналу.
Основная сложность в организации криптографической защиты резервных копий заключается в необходимости разделения обязанностей по управлению архивированием данных. Настраивать и осуществлять сам процесс резервного копирования должен системный администратор или другой технический сотрудник. Управлять же шифрованием информации должен ответственный сотрудник — офицер безопасности. При этом необходимо понимать, что резервирование в подавляющем большинстве случаев осуществляется в автоматическом режиме. Решить эту проблему можно только путем «встраивания» системы криптографической защиты между системой управления резервным копированием и устройствами, которые осуществляют запись данных (стримеры, DVD-приводы и т.п.).
Таким образом, криптографические продукты для возможности их применения в банках должны также иметь возможность работы с различными устройствами, использующимися для записи резервных копий на носители информации: стримерами, CD- и DVD-приводами, съемными жесткими дисками и т.п.
На сегодня существуют три типа продуктов, призванных минимизировать риски, связанные с несанкционированным доступом к резервным копиям. К первому относятся специальные устройства. Такие аппаратные решения имеют множество преимуществ, в том числе и надежное шифрование информации, и высокая скорость работы. Однако они обладают тремя существенными недостатками, которые не позволяют использовать их в банках. Первый: очень высокая стоимость (десятки тысяч долларов). Второй: возможные проблемы c ввозом в Россию (нельзя забывать, что мы говорим о криптографических средствах). Третий минус заключается в невозможности подключить к ним внешние сертифицированные криптопровайдеры. Эти платы работают только с реализованными в них на аппаратном уровне алгоритмами шифрования.
Вторую группу систем защиты криптографической защиты резервных копий составляют модули, которые предлагают своим клиентам разработчики программного и аппаратного обеспечения для резервного копирования. Существуют они для всех наиболее известных в данной области продуктов: ArcServe, Veritas Backup Exec и др. Правда, и у них есть свои особенности. Самая главная — это работа только со «своим» ПО или накопителем. Между тем информационная система банка постоянно развивается. И возможна ситуация, когда замена или расширение системы резервного копирования может потребовать дополнительных затрат на модификацию системы защиты. Кроме того, в большинстве продуктов этой группы реализованы старые медленные алгоритмы шифрования (например, 3DES), нет средств управления ключами, отсутствует возможность подключения внешних криптопровайдеров.
Все это заставляет обратить самое пристальное внимание на системы криптографической защиты резервных копий из третьей группы. К ней относятся специально разработанные программные, программно-аппаратные и аппаратные продукты, не привязанные к конкретным системам архивирования данных. Они поддерживают широкий спектр устройств записи информации, что позволяет применять их во всем банке, включая и все его филиалы. Это обеспечивает единообразие используемых средств защиты и минимизацию эксплуатационных затрат.
Правда, стоит отметить, что, несмотря на все их преимущества, на рынке представлено совсем немного продуктов из третьей группы. Это объясняется, скорее всего, отсутствием большого спроса на системы криптографической защиты резервных копий. Как только руководство банков и прочих крупных организаций осознает реальность рисков, связанных с архивированием коммерческой информации, число игроков на этом рынке вырастет.
Защита от инсайдеров
Последние исследования в области информационной безопасности, например ежегодное CSI/FBI Computer Crime And Security Survey, показало, что финансовые потери компаний от большинства угроз год от года снижаются. Однако есть несколько рисков, убытки от которых растут. Одно из них — намеренное воровство конфиденциальной информации или же нарушение правил обращения с ней теми сотрудниками, доступ которых к коммерческим данным необходим для выполнения служебных обязанностей. Их называют инсайдерами.
В подавляющем большинстве случаев воровство конфиденциальной информации осуществляется с помощью мобильных носителей: CD и DVD-дисков, ZIP-устройств и, самое главное, всевозможных USB-накопителей. Именно их массовое распространение и привело к расцвету инсайдерства по всему миру. Руководители большинства банков прекрасно понимают, чем может грозить, например, попадание базы данных с персональными данными их клиентов или, тем более, проводками по их счетам в руки криминальных структур. И они пытаются бороться с вероятным воровством информации доступными им организационными методами.
Однако организационные методы в данном случае неэффективны. Сегодня можно организовать перенос информации между компьютерами с помощью миниатюрной флэшки, сотового телефона, mp3-плеера, цифрового фотоаппарата... Конечно, можно попробовать запретить проносить на территорию офиса все эти устройства, однако это, во-первых, негативно скажется на отношениях с сотрудниками, а во-вторых, наладить реально действенный контроль над людьми все равно очень сложно — банк не «почтовый ящик». И даже отключение на компьютерах всех устройств, которые могут использоваться для записи информации на внешние носители (FDD и ZIP-диски, CD и DVD-приводы и т.п.), и USB-портов не поможет. Ведь первые нужны для работы, а ко вторым подключается различная периферия: принтеры, сканеры и т.п. И никто не может помешать человеку отключить на минуту принтер, вставить в освободившийся порт флэш-диск и скопировать на него важную информацию. Можно, конечно, найти оригинальные способы защиты. Например, в одном банке попробовали такой метод решения проблемы: залили место соединения USB-порта и кабеля эпоксидной смолой, намертво «привязав» последний к компьютеру. Но, к счастью, сегодня существуют более современные, надежные и гибкие способы контроля.
Самым эффективным средством минимизации рисков, связанных с инсайдерами, является специальное программное обеспечение, осуществляющее динамическое управление всеми устройствами и портами компьютера, которые могут использоваться для копирования информации. Принцип их работы таков. Для каждой группы пользователей или для каждого пользователя в отдельности задаются разрешения на использование различных портов и устройств. Самое большое преимущество такого ПО — гибкость. Вводить ограничения можно для конкретных типов устройств, их моделей и отдельных экземпляров. Это позволяет реализовывать очень сложные политики распределения прав доступа.
Например, некоторым сотрудникам можно разрешить использовать любые принтеры и сканеры, подключенные к USB-портам. Все же остальные устройства, вставленные в этот порт, останутся недоступными. Если же в банке применяется система аутентификации пользователей, основанная на токенах, то в настройках можно указать используемую модель ключей. Тогда пользователям будет разрешено использовать только приобретенные компанией устройства, а все остальные окажутся бесполезными.
Исходя из описанного выше принципа работы систем защиты, можно понять, какие моменты важны при выборе программ, реализующих динамическое блокирование устройств записи и портов компьютера. Во-первых, это универсальность. Система защиты должна охватывать весь спектр возможных портов и устройств ввода-вывода информации. Иначе риск кражи коммерческой информации остается недопустимо высоким. Во-вторых, рассматриваемое ПО должно быть гибким и позволять создавать правила с использованием большого количество разнообразной информации об устройствах: их типов, производителей моделей, уникальных номеров, которые есть у каждого экземпляра и т.п. Ну и, в-третьих, система защиты от инсайдеров должна иметь возможность интеграции с информационной системой банка, в частности с Active Directory. В противном случае администратору или офицеру безопасности придется вести по две базы пользователей и компьютеров, что не только неудобно, но и увеличивает риски возникновения ошибок.
Подводим итоги
Итак, сегодня на рынке есть продукты, с помощью которых любой банк может организовать надежную систему защиты информации от несанкционированного доступа и нецелевого использования. Правда, при их выборе нужно быть очень осмотрительным. В идеале этим должны заниматься собственные специалисты соответствующего уровня. Допускается использование услуг посторонних компаний. Однако в этом случае возможна ситуация, когда банку будет искусно навязано не адекватное программное обеспечение, а то, которое выгодно фирме-поставщику. Кроме того, отечественный рынок консалтинга в области информационной безопасности находится в зачаточном состоянии.
Между тем сделать правильный выбор совсем несложно. Достаточно вооружиться перечисленными нами критериями и внимательно изучить рынок систем безопасности. Но здесь есть «подводный камень», о котором необходимо помнить. В идеальном случае система информационной безопасности банка должна быть единой. То есть все подсистемы должны интегрироваться в существующую информационную систему и, желательно, иметь общее управление. В противном случае неминуемы повышенные трудозатраты на администрирование защиты и увеличение рисков из-за ошибок в управлении. Поэтому для построения всех трех описанных сегодня подсистем защиты лучше выбирать продукты, выпущенные одним разработчиком. Сегодня в России есть компании, которые создают все необходимое для защиты банковской информации от несанкционированного доступа.
Марат Давлетханов — независимый эксперт, marat@maratd.ru