Спецпроекты

Безопасность Стратегия безопасности

Система ИБ: когда не работают механизмы защиты

В статье "Посторонним вход воспрещен: как обезопасить корпоративные данные?" речь шла о технических решениях, применяемых для управления доступом сотрудников к информационным ресурсам предприятия. Этот материал посвящен живым примерам ситуаций, когда меры и инструменты защиты оказываются неработоспособными: почему так происходит и как добиться максимального синергетического действия используемых ИТ-средств?

Итак, системы PKI и SSO позволяют противодействовать киберпреступлениям, совершаемым сотрудником или другим лицом, использующим его пароль для доступа к корпоративной информации. Причем действительно эффективной оказывается только связка PKI и SSO. Напомним, что в ней система SSO позволяет использовать сложные пароли и часто менять их, практически полностью исключая возможность подбора или взлома, а наличие двухфакторной идентификации резко снижает риски того, что подсмотренный или полученный от самого пользователя обманным путем пароль откроет двери в информационную систему.

Мы говорили также, что для злоумышленника практически нереально завладеть ключом и узнать его ПИН-код. Это верно, но только при условии, что владелец ключа неукоснительно соблюдает ряд достаточно простых правил, главное из которых – никому не передавать ключ и ПИН-код – кажется очевидным. Однако нарушение этого правила происходит не так уж редко. Почему?

Ахиллесова пята неуязвимой системы PKI

Как правило, такое случается вследствие халатности. Например, пользователь передает коллеге свой ключевой носитель и ПИН-код, чтобы тот включил рабочий компьютер пользователя для имитации его присутствия в офисе. И мало кто думает, что «добрый» коллега вполне может не ограничиться этим и совершить что-то незаконное от имени владельца ключа. А между тем, это один из самых частых способов социальной инженерии, с успехом применяемый как спецслужбами, так и киберпреступниками. Ведь на внедрение своего агента и ожидание момента, когда он получит достаточно высокий уровень доверия и легитимный доступ к конфиденциальным сведениям, нужно слишком много времени. Куда проще и быстрее внедрить агента на менее значимую должность, нацелив его на налаживание неформальных контактов с сотрудниками, уже заслужившими доверие и имеющими доступ к необходимым сведениям.

Главное правило — никому не передавать ключ и ПИН-код
Главное правило — никому не передавать ключ и ПИН-код

В качестве примера — реальная ситуация, случившаяся с руководителем инвестиционного отдела одного из банков. Однажды в его отдел поступила очаровательная девушка, заняв скромную позицию младшего экономиста. Очень скоро их отношения переросли в бурный роман. И как-то девушка попросила своего друга помочь ей написать дипломный проект, необходимый для завершения второго высшего образования. Ей нужен был живой пример расчета инвестиционного проекта, удовлетворяющего определенным критериям. По «счастливому» стечению обстоятельств, у нашего влюбленного как раз находился в работе подходящий инвестиционный проект. Но просто скопировать нужную информацию или открыть к ней доступ он не мог, т. к. в банке действовали вполне серьезные технические системы ИБ.

Самым простым решением было отдать своей пассии ключи и пароли, чтобы она могла по вечерам придавать блеск своему диплому. Что и было сделано. А через несколько дней девушка сообщила, что у нее серьезно заболела мама и нужно срочно съездить в родной город. Нетрудно предсказать, что было дальше. Проект, который курировал наш руководитель, оказался полностью провален: банк-конкурент подготовил свое предложение и перехватил интересную сделку. Трудно было отделаться от ощущения, что авторы владели всей информацией о планах первого банка, но доказательств, естественно, не было. Стоит ли говорить, что и мобильный телефон девушки через пару дней после ее отъезда перестал отвечать. Служебное расследование в пострадавшем банке выявило все приведенные факты, однако найти предприимчивую девушку не удалось. А наш руководитель потерял не только любовь, но и работу. Хотя прямого злого умысла в его действиях не было.

Подобные методы прекрасно работают в бизнесе, хотя каждому они давно известны по детективам. Кажется, что весь опыт человечества говорит о невозможности бороться с ними, ведь здесь используются глубинные черты психологии человека. Но это не так. Недавно в арсенале ИБ появились новые технологии идентификации, позволяющие эффективно противодействовать таким методам насанкционированного доступа к информационным системам. Идея состоит в том, чтобы использовать проверенную инфраструктуру PKI, но сделать ключевые носители неотделимыми от пользователя.

Как связать ключ с его владельцем?

Наиболее перспективны три варианта обеспечения неотделимости. Первый из них — использование ключевых носителей с биометрией. В качестве ПИН-кода или вместе с ПИН-кодом система идентификации просит еще и отпечатки пальцев.

Короткая ссылка