Система ИБ: когда не работают механизмы защиты

В статье "Посторонним вход воспрещен: как обезопасить корпоративные данные?" речь шла о технических решениях, применяемых для управления доступом сотрудников к информационным ресурсам предприятия. Этот материал посвящен живым примерам ситуаций, когда меры и инструменты защиты оказываются неработоспособными: почему так происходит и как добиться максимального синергетического действия используемых ИТ-средств?

Итак, системы PKI и SSO позволяют противодействовать киберпреступлениям, совершаемым сотрудником или другим лицом, использующим его пароль для доступа к корпоративной информации. Причем действительно эффективной оказывается только связка PKI и SSO. Напомним, что в ней система SSO позволяет использовать сложные пароли и часто менять их, практически полностью исключая возможность подбора или взлома, а наличие двухфакторной идентификации резко снижает риски того, что подсмотренный или полученный от самого пользователя обманным путем пароль откроет двери в информационную систему.

Мы говорили также, что для злоумышленника практически нереально завладеть ключом и узнать его ПИН-код. Это верно, но только при условии, что владелец ключа неукоснительно соблюдает ряд достаточно простых правил, главное из которых – никому не передавать ключ и ПИН-код – кажется очевидным. Однако нарушение этого правила происходит не так уж редко. Почему?

Ахиллесова пята неуязвимой системы PKI

 Как правило, такое случается вследствие халатности. Например, пользователь передает коллеге свой ключевой носитель и ПИН-код, чтобы тот включил рабочий компьютер пользователя для имитации его присутствия в офисе. И мало кто думает, что «добрый» коллега вполне может не ограничиться этим и совершить что-то незаконное от имени владельца ключа. А между тем, это один из самых частых способов социальной инженерии, с успехом применяемый как спецслужбами, так и киберпреступниками. Ведь на внедрение своего агента и ожидание момента, когда он получит достаточно высокий уровень доверия и легитимный доступ к конфиденциальным сведениям, нужно слишком много времени. Куда проще и быстрее внедрить агента на менее значимую должность, нацелив его на налаживание неформальных контактов с сотрудниками, уже заслужившими доверие и имеющими доступ к необходимым сведениям.

В качестве примера — реальная ситуация, случившаяся с руководителем инвестиционного отдела одного из банков. Однажды в его отдел поступила очаровательная девушка, заняв скромную позицию младшего экономиста. Очень скоро их отношения переросли в бурный роман. И как-то девушка попросила своего друга помочь ей написать дипломный проект, необходимый для завершения второго высшего образования. Ей нужен был живой пример расчета инвестиционного проекта, удовлетворяющего определенным критериям. По «счастливому» стечению обстоятельств, у нашего влюбленного как раз находился в работе подходящий инвестиционный проект. Но просто скопировать нужную информацию или открыть к ней доступ он не мог, т. к. в банке действовали вполне серьезные технические системы ИБ.

Самым простым решением было отдать своей пассии ключи и пароли, чтобы она могла по вечерам придавать блеск своему диплому. Что и было сделано. А через несколько дней девушка сообщила, что у нее серьезно заболела мама и нужно срочно съездить в родной город. Нетрудно предсказать, что было дальше. Проект, который курировал наш руководитель, оказался полностью провален: банк-конкурент подготовил свое предложение и перехватил интересную сделку. Трудно было отделаться от ощущения, что авторы владели всей информацией о планах первого банка, но доказательств, естественно, не было. Стоит ли говорить, что и мобильный телефон девушки через пару дней после ее отъезда перестал отвечать. Служебное расследование в пострадавшем банке выявило все приведенные факты, однако найти предприимчивую девушку не удалось. А наш руководитель потерял не только любовь, но и работу. Хотя прямого злого умысла в его действиях не было.
 
Подобные методы прекрасно работают в бизнесе, хотя каждому они давно известны по детективам. Кажется, что весь опыт человечества говорит о невозможности бороться с ними, ведь здесь используются глубинные черты психологии человека. Но это не так. Недавно в арсенале ИБ появились новые технологии идентификации, позволяющие эффективно противодействовать таким методам насанкционированного доступа к информационным системам. Идея состоит в том, чтобы использовать проверенную инфраструктуру PKI, но сделать ключевые носители неотделимыми от пользователя.

Как связать ключ с его владельцем?

Наиболее перспективны три варианта обеспечения неотделимости. Первый из них — использование ключевых носителей с биометрией. В качестве ПИН-кода или вместе с ПИН-кодом система идентификации просит еще и отпечатки пальцев.

Второй — объединение в рамках ключевого носителя (смарт-карты) не только доступа к ИТ-ресурсам, но и банковской карты, на которую переводится заработная плата. Действие этого механизма основанно на том, что все мы к своим деньгам относимся внимательнее, чем к корпоративной информации. Это повышает шансы, что карточку с зарплатой не будут передавать коллегам и оставлять на рабочем столе без присмотра.
 
Третий вариант подразумевает интеграцию идентификации (IDM) и контроля физического доступа в помещения (СКУД). Система идентификации, прежде чем предоставить доступ к информационной системе, проверяет, действительно ли данный пользователь находится в офисе и сам ли он предпринимает попытку доступа.
 
Каждый из этих механизмов значительно повышает надежность аутентификации и допускает эффективную техническую реализацию, причем при определенных условиях организация может сохранить значительную часть инвестиций в существующие системы ИБ. Третий вариант особенно интересен тем, что не требует замены ключевых носителей и поддерживающей инфраструктуры PKI. Кстати, интеграция системы IDM с системой СКУД может победить и еще одну классическую проблему, ставшую причиной очень большого числа компьютерных преступлений. Какую? Халатность сотрудников, имеющих доступ к финансовым операциям.

Халатный работник — все равно что преступник

В современных системах «Банк-клиент» система двухфакторной аутентификации применяется в обязательном порядке. Так, без предъявления своего токена, бухгалтер просто не может провести платеж. Подавляющее большинство бухгалтеров реагирует на это новшество одинаково. Получив токен, бухгалтер вставляет его в свой компьютер и никогда больше не вынимает, что полностью дискредитирует идею безопасности. Некоторые бухгалтеры идут дальше и даже не блокируют свой компьютер, покидая свое рабочее место. В итоге для кражи денег, злоумышленнику остается только выбрать удобный момент, когда бухгалтерский компьютер останется без присмотра, и, набив платежку, перевести имеющиеся на счете средства туда, где можно будет быстро обналичить деньги, не оставляя следов.

Именно такой случай произошел у одного из наших заказчиков. Во время обеденного перерыва все сотрудницы бухгалтерии ушли на обед, не заблокировав компьютер главного бухгалтера и не вытащив USB-токен от клиент-банка. Некто, зайдя на минуту в бухгалтерию, перевел несколько десятков миллионов рублей на определенный счет. Несанкционированная операция была обнаружена лишь на следующее утро, по полученным банковским выпискам. За это время деньги были многократно переброшены по различным счетам в различных банках, разбиты на менее значимые суммы и в итоге обналичены через банкоматы очень далеко от Москвы.
 
Естественно, все вопросы по данному платежу были адресованы главному бухгалтеру, т. к. в организации лишь этот сотрудник имел доступ к системе «Банк-клиент». Несчастная женщина клялась, что не проводила этот платеж, что и подтвердилось после сопоставления момента транзакции с показаниями свидетелей и журналом системы СКУД. Когда совершалось преступление, женщина обедала в ближайшем кафе вместе с коллегами. Но это не отменило факта вопиющей халатности главбуха, которой и воспользовался злоумышленник.

Найти его не удалось, т. к. в офисе не велось видеонаблюдение и не было системы закрытия внутриофисных помещений (контролировался только доступ в офис с улицы). После этого случая руководство предприятия не только оборудовало все помещения офиса электронными замками и видеокамерами, но и поставило четкую задачу сделать так, чтобы бухгалтер не мог выйти из своего кабинета, пока ключ от клиент-банка подключен к его компьютеру. Интеграция IDM-системы и системы СКУД позволила решить задачу и создать систему, полностью защищенную «от дурака». Теперь ключ от клиент-банка и электронный ключ от двери кабинета – это единый носитель, и бухгалтер физически не может открыть дверь кабинета без того, чтобы не забрать токен с собой.

Проблема сисадмина

Говоря о роли человеческого фактора в компьютерных преступлениях и конкурентной разведке, нельзя не упомянуть о подкупе системного администратора, являющемся классическим способом получения доступа к важной информации. Чтобы представить себе масштаб этой угрозы, надо осознать возможности системного администратора, ведь многие организации просто не представляют себе, насколько они широки.

В незрелых (с точки зрения ИБ) компаниях администратор имеет практически неограниченные права для входа в любые системы от имени любого пользователя, т. к. владеет данными о всех логинах и паролях. Таким образом, администратор не только может получить доступ, скопировать, изменить или удалить любую информацию в любой системе, но и скрыть следы своей деятельности, переложив ответственность за содеянное на ничего не подразумевающего человека. Именно поэтому современные IDM-системы позволяют сделать так, чтобы администраторы вообще не имели доступа к паролям сотрудников. Например, система может генерировать ПИН-код и печатать в ПИН-конверт – по аналогии с тем, как выдаются банковские карты. В этом случае никто в организации, кроме самого пользователя, не владеет его паролем доступа к ИТ-системам.

Нечистые на руку системные администраторы пользуются еще одним приемом. Если в компанию внедрен или завербован еще один агент, то сисадмин может невзначай ненадолго открыть этому сотруднику не положенные ему по должности права — и всю грязную работу выполнит этот агент. После чего неположенные права могут быть снова отозваны, а «хвосты» в виде логов – подчищены. В итоге, с очень высокой вероятностью все пройдет незаметно и безнаказанно. Но такие изменения очень быстро будут обнаружены и о них будет незамедлительно сообщено ответственным сотрудникам службы ИБ и руководству, если в компании внедрена IDM-система, которая ведет постоянный мониторинг фактических прав доступа каждого пользователя во все ИТ-системы компании и автоматически сопоставляет их с заданной ролевой моделью и включает сценарий реагирования на выявленные расхождения.

Расстанемся друзьями

Но не только администраторы являются зоной риска. Еще одна группа, за которой нужен особый контроль, – это сотрудники, увольняемые или покидающие компанию по собственному желанию. Хорошо, если расставание происходит мирно и ни одна из сторон не имеет претензий друг к другу. Но и в этом случае сотрудник, как правило, копирует целый ряд рабочих файлов себе, про запас. А что уж говорить о том, если расставание конфликтное и обиженный работник готов использовать любую возможность насолить своему бывшему работодателю? В таком состоянии многие с радостью крадут или уничтожают корпоративную информацию, готовые поспособствовать попаданию в сеть компании какого-либо компьютерного вируса. Но какое отношение к этому имеет управление доступом?

Ответ прост. Чаще всего недружественные действия предпринимаются сотрудником после получения трудовой книжки и полного расчета. Это и понятно: предпринимать недружественные шаги до этого рискованно как с юридической, так и с финансовой точки зрения. А после формального увольнения, когда деньги получены и человек уже не связан с компанией какими-либо юридическими обязательствами, он гораздо более свободен в своих действиях. К моменту увольнения все права доступа у сотрудника должны быть отозваны. Но это только в теории.

На практике же в крупных компаниях длительные бюрократические процедуры обмена информацией приводят к тому, что указания о закрытии тому или иному работнику всех прав доступа поступают в ИТ-подразделение с большой задержкой или не поступают вовсе (служебная записка потерялась где-то по пути из отдела персонала в отдел ИТ). Но и добравшись до отдела ИТ, требование отрабатывается с задержками – в связи с высокой загрузкой ИТ-персонала. В итоге уволенный работник надолго сохраняет доступ к своим рабочим приложениям. Надежда, что он физически не сможет попасть в офис и воспользоваться своими правами, оправдывется далеко не всегда. При современном уровне развития мобильных устройств велика вероятность, что для работы с ИТ-системами совершенно не нужно находиться в офисе.

Очевидно, что при таких условиях мы имеем потенциальную зону риска, позволяющую использовать доступ к информации не на благо компании. Именно поэтому необходимо, чтобы в компании был реализован автоматизированный процесс связи кадровой базы компании с системой предоставления доступа. И чтобы отзыв всех прав доступа проходил мгновенно, как только менеджер по персоналу отразит факт увольнения в кадровой системе. А эта связь, как уже было сказано, также является функционалом IDM-системы.

К сожалению, приемов и инструментов совершения компьютерных преступлений гораздо больше. Однако именно управление доступом к ИТ-системам организации является первостепенной задачей обеспечения ИБ компании.

Андрей Конусов, генеральный директор компании Аванпост

CNews