Из-за наплыва недорогих носителей на современных предприятиях — от MP3-плееров и карманных компьютеров до флэшек и внешних жестких дисков — информация разлетается все дальше и дальше от центра, а злоумышленники тем временем создают все более сложный вредоносный код для несанкционированного доступа к частным данным.

В этом кажущемся хаосе безопасность информации стала одной из главных проблем всех организаций. Менеджеры бьются над тем, как надежно защитить данные на протяжении их жизненного цикла, выполнив требования безопасности и совместимости.

Тревога небезосновательна. После недавней волны хищений информации и взломов систем защиты многие личные и конфиденциальные данные подверглись опасности:

  • Японское представительство McDonald’s было вынуждено изъять более 10 тыс. MP3-плееров, распространенных в ходе рекламной акции, когда выяснилось, что на устройствах стояла шпионская троянская программа.
  • Apple непреднамеренно поставила партию устройств видео-iPod, содержащих вирус для Windows, способный заразить компьютер.
  • TomTom выяснила, что многие устройства GPS, поставленные в четвертом квартале 2006 года, имели вирус, который мог заразить компьютер при подключении к ним.
  • Нью-Йоркское подразделение компании Empire Blue Cross and Blue Shield потеряло компакт-диск, содержавший незашифрованную информацию о 75 тыс. человек.

Эти недавние случаи заставили компании всерьез взяться за поиск дыр в существующих сетях безопасности, через которые может произойти утечка информации. И, как ни печально, компаниям приходится пристально вглядываться в своих собственных служащих. По различным данным, наибольший вред безопасности наносится инсайдерами в результате как злоумышленных, так и на вид благонамеренных действий. А с появлением массы новых переносных устройств хранения данных информация может буквально выйти за дверь.

Технологии, используемые вашими сотрудниками

Никогда еще не было такого количества мобильных служащих. В одних только Соединенных Штатах, по данным компании Dieringer Research Group, более 44 миллионов удаленных работников. Вследствие такой высокой степени перемещения рабочей силы, включая договорников, сотрудников и партнеров, сохранение информации внутри организации становится серьезной проблемой.

Технологии удовлетворили нашу потребность в мобильности, а также дали нам дополнительные средства коммуникации. Переносные носители стали играть центральную роль среди новых разнообразных средств передачи и использования информации. Сегодня переносные устройства хранения существуют во множестве формфакторов — это и небольшие карты для КПК и камер, и флэшки, использующиеся для перемещения файлов между компьютерами, и личные развлекательные устройства.

Большинство личных носителей могут подключаться к ПК через USB или FireWire. Это кошмар для администраторов ИТ-безопасности, так как в сегодняшнем ПК столько портов USB, сколько чашкодержателей в микроавтобусе. Более того, технология Windows «включай и работай» позволяет без труда задействовать эти устройства. Пользователи могут просто подключить их, и Windows автоматически устанавливает и конфигурирует нужные диски. Любой имеет возможность подсоединить устройство, скачать большой объем внутренней информации и выйти через главную дверь.

В последние годы появилась еще одна угроза информации. Троянская программа, созданная специально для кражи данных, проникает с устройств U3 — нового вида носителей, подключаемых через USB и содержащих автоматически запускаемые и выполняемые приложения. Одного подключения U3 к USB достаточно, чтобы активировать троянскую программу, которая за несколько минут копирует и удаляет критически важную информацию. Эти усовершенствованные атаки подвергли конфиденциальные данные еще большей опасности и сделали управление выполнением программ важнейшим аспектом политики ИТ-безопасности каждой организации.

Как установить эффективный контроль над устройствами и приложениями

Контроль над устройствами и приложениями помогает вырабатывать и внедрять детализированную политику использования программных приложений, переносных носителей или любых устройств, к которым можно подключиться с ПК конечного пользователя. Контролировать их намного выгоднее, чем пытаться установить запрет на средства индивидуального управления данными, возникшие в результате длительной эволюции ИТ.

Для того чтобы создать качественную политику, нужно предпринять несколько важных шагов. Разработку и внедрение политики использования устройств и приложений нельзя проводить в деструктивном порядке. Необходимо по возможности снизить негативный эффект перехода от неконтролируемой среды к контролируемой.

Шаг 1

Исследуйте — знайте своих пользователей. Первый шаг состоит в выявлении всех устройств и приложений, которые используются или доступны пользователям в организации. Кроме того, ИТ-менеджеры должны определить, будут ли все конечные пользователи обладать одинаковыми правами. Например, существуют ли уровни конфиденциальности или другие организационные методы классификации, согласно которым будет определяться, кто сможет переносить информацию и как он будет получать на это право? Многие компании используют управление идентификацией (identity management) для создания и предоставления мандатов конечным пользователям, а также назначения привилегий доступа в соответствии с мандатами. Если такая информация уже имеется, большая часть работы по установлению политики использования устройствами или приложениями выполнена. Если нет, существует ряд способов и средств создания групп политик.

Шаг 2

Разработайте — определите приемлемые правила использования устройств и приложений. Следующий шаг — это определение всех устройств и приложений, использование которых будет санкционировано. Например, целесообразно разрешить всем переносным носителям только «чтение», позволив сотрудникам приносить в компанию данные, но не удалять их. Возможно, еще лучше потребовать какое-либо шифрование и аутентификацию. Также, вероятно, следует разрешить установку программ мгновенного обмена сообщениями или программного обеспечения Peer-to-Peer только определенным группам. При разумном подходе все устройства и приложения сканируется, а их использование отслеживается в течение определенного времени для того, чтобы решить, какую политику стоит применить.

Шаг 3

Разверните и внедрите; действуйте. После того как допустимые устройства и приложения (а также правила их использования) определены и соотнесены с группами пользователей, требуется одобрение руководства. Когда оно получено, пора рассказать конечным пользователям компании, чего ожидать. Коммуникация крайне важна для предотвращения дезорганизации и протестов. Если конечные пользователи знают, чего ждать и у них есть время осмыслить перемены, вероятность минимальных последствий для конечных пользователей и инфраструктуры значительно возрастает. Когда политика создана, доработана и разъяснена, убедитесь, что это больше, чем просто листок бумаги — она должна быть претворяемой в жизнь.

Шаг 4

Аудит — докажите выполнение политики. Последний шаг во внедрении хорошей политики использования устройств и приложений заключается в подтверждении ее действия при помощи всесторонних проверок и составления отчетности. Способность подробно изучить подозрительное поведение пользователя позволяет организации держать ситуацию под контролем и принимать необходимые меры. Возможность следить за поведением пользователей также показывает, насколько эффективна написанная политика и как точно сотрудники ей следуют.

Активно занимаясь контролем устройств и приложений, организации могут обеспечить для себя защиту от утечки информации, в то же время позволяя сотрудникам использовать устройства и программы, необходимые им для выполнения повседневной работы. Наиболее эффективные методы решения этих задач подразумевают выполнение многочисленных действий, которые помогают компаниям точно понять, кому необходимы те или иные приложения и переносные носители информации.


Dennis Szerszen. Securing Data at the Endpoint: Four Steps to Guard against Data Leakage. SC Magazine. May 7, 2007