НовостиСобытияКонференцииФорумыIT@Work
Безопасность:

Блог

Конфиденциальная информация: практический аспект

Сергей Голубев
15.04.2016 12:08:15
Теги: ИБ

Наконец-то у меня появилась возможность на практике проверить реалистичность концепции, согласно которой обычный пользователь совершенно беззащитен перед угрозой потери конфиденциальной информации. Причём, для её «хищения» вовсе не обязательно быть каким-то крупным профессионалом.

У одного моего знакомого сломался ноутбук. Надо сдавать в ремонт. А это означает, что посторонний человек сможет запустить его систему и посмотреть его файлы. Разумеется, ему этого не хотелось и он обратился ко мне за советом.

Очевидно, что самый простой вариант — снять жёсткий диск и оставить его дома. Но он был сразу же отвергнут, поскольку «если бы я умел что-то там внутри откручивать, я бы и в ремонт его не понёс — сам бы починил». Не менее тоскливым взглядом были встречен совет сделать полную резервную копию данных, а потом отформатировать диск. Или назначить сложный пароль для входа — мол, а там загрузятся с флешки и подключат все разделы.

В-общем, способов много, но простому пользователю они совершенно не подходят. Например, можно переименовать все рабочие документы, чтобы никто не догадался, но потом сам же во всём этом и запутаешься.

В результате было принято единственно приемлемое решение. На основном компьютере все секретные файлы были перемещены из каталога синхронизации Dropbox в другую директорию. Через полчаса эти файлы исчезли и с жёсткого диска ноутбука.

Было это где-то неделю назад, но вчера знакомый попросил срочно зайти. Оказалось, что он случайно удалил с основной машины каталог с секретными файлами и теперь не знает, что делать. Раньше он восстановил бы их с ноутбука (кстати, в ремонт он его так и не успел отнести), но сейчас их нет нигде. Как говориться, за что боролись…

Сложность заключалась ещё и в том, что основная машина находится в конторе, поэтому к ней у меня доступа не было. Пришлось работать с ноутбуком, который был «подготовлен» к передаче в посторонние руки.

Оказалось, что для восстановления всех секретных файлов мне (не специалисту по ИБ и вообще журналисту) потребовалось полчаса. Причём, я ещё и выбирал, откуда мне их восстанавливать.

Во-первых, удалённый каталог преспокойно хранился в корзине Dropbox и можно было их восстановить из веб-интерфейса. Поскольку логин и пароль к сервису браузер сохранил, то участие знакомого мне не понадобилось. Очевидно, что ремонтник мог сделать то же самое.

Во-вторых, в закладках браузера обнаружились ссылки на другие облачные хранилища: «Яндекс.Диск» и «Облако Mail.ru». Оказалось, что когда знакомый выбирал для себя лучший сервис, он пробовал и эти. А когда убедился, что Dropbox всё-таки лучше, то просто удалил клиентские программы других служб, а все файлы (где-то 80% от полного комплекта) спокойно лежат на сервере, а логины и пароли хранит браузер.

В-третьих, практически всё самое нужное быстро находится в приложениях к письмам, отправленных почтовым клиентом. Причём, без особого труда — достаточно обратить внимание на метки «важно», «срочно» и даже «конфиденциально».

Но интересней всего была реакция знакомого. Он очень обрадовался. Во-первых, все файлы восстановлены и никакого нагоняя на работе не предвидится. Во-вторых, если всё равно никакой секретности на практике нет, то лучше отдать ноутбук в ремонт «как есть» и «будь, что будет».

Хотел назвать это сказкой про безопасность, только это не сказка, а самая настоящая быль.

Комментариев: 11

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

15.04.2016 13:05:32

На самом деле именно поэтому у меня жесткий диск на ноутбуке зашифрован smile:)

Donat Lipkovsky
15.04.2016 13:49:32

Совершенно верно. И это как необходимый и, в большинстве случаев, достаточный минимум.
Способов решить проблему безопасности для данного случая - вагон и маленькая тележка. При этом профильное высшее образование не обязательно, достаточно средней сообразительности и желания.
Примерно так же с сохранением здоровья у обычного человека в обычной жизни - дохтуром быть не обязательно, но желание и соответствующие настойчивые телодвижения в этом направлении во многом позволят избежать ненужных проблем.

15.04.2016 14:00:40

Ага. Этот вариант знакомый даже рассматривать не стал. Забудешь пароль; передашь ноутбук коллеге, он забудет пароль, а ты будешь виноват… Шифрование — это первое, от чего знакомый отказался, после того, как попробовал. Очень неудобно, работе мешает.

Вот если бы ему доплачивали за работу на зашифрованном ноутбуке, тогда он бы ещё подумал smile:).

15.04.2016 14:07:08

Если этот ноутбук не персональный, то тогда шифрование включается только по принятой политике. Это естественно.

15.04.2016 14:19:33

Принятой кем? Можно прямой вопрос? Сколько процентов частных компаний имеет ИБ-отдел? Хотя бы 10% наберётся? smile:)

Но даже в этом случае служебная информация всё равно будет уходить на личный компьютер, поскольку что-то надо доделать дома. Или просто сохранить полезные контакты на случай смены работы.

Donat Lipkovsky
15.04.2016 14:30:58

Есть такое понятие - Разделение труда. Если в организации нет собственного отдела ИБ, то безопасностью обычно занимается сисадмин. Если его нет, то это странно. Если он не владеет темой, то можно обратиться в аутсорсинг и .т.д. и т.п.
Опять проблемы не вижу. Точнее она есть - нежелание. Точнее желание безопасности есть, но нет желание что-либо предпринимать. Хочу быть здоровым и буду сидеть и ждать когда оно здоровье, на меня снизойдёт, а в свободное время жаловаться не превратности судьбы.

Donat Lipkovsky
15.04.2016 14:20:54

Ну вы поясните знакомому, что просто напряжением одного желания в организме - задача с места не сдвинется. Нужны действия.
Пароль забудет?! Пусть татуировку сделает, если у него склероз.

15.04.2016 14:48:44

Цитата
Пароль забудет?! Пусть татуировку сделает, если у него склероз.


И он будет секретным до первого похода в баню smile:).

Но мораль вовсе не в этом. Пользователь — он вовсе не слабое звено. Он готов соблюдать требования ИБ, если они его не напрягают и не мешают ему зарабатывать деньги. Если эти условия нарушаются, то только из-под палки, что требует от работодателя очень дополнительных ресурсов на поддержку этой самой палки (и на контроль над палкой, чтобы она в нужную ему сторону махала).

Donat Lipkovsky
15.04.2016 15:11:21

Мдя... баня это слабое звено smile:)
Что касается остального - то тут тоже всё просто. В очередной раз цитирую своего старпома:
"Если служба мешает семейной жизни - бросьте службу. Если семейная жизнь мешает службе - бросьте семью".
Это замечательное правило, позволяет легко сделать выбор между шифрованием и удобством.

Donat Lipkovsky
15.04.2016 15:24:38

Кстати, Владимир, поделюсь маленьким секретом. Я не использую шифрование всего диска. Проще говоря, я для безопасности данных на ноутбуке использую VeraCrypt и некоторые другие средства таким образом, что в любом случае, к важным данным при физическом взаимодействии постороннего лица с устройством, оно доступ к этим данным не получит. Но для меня важно, чтобы в случае утери ноутбука, тот кто найдёт ноутбук вошёл в систему и подключился к интернету. После этого я получаю IP-адрес выхода. Как вы сами понимаете, это увеличивает шансы вернуть устройство. Для нашедшего сделан отдельный пользователь без пароля, ну или он может сбрасывать пароль, админа, что легко. Главное, я от всей души желаю ему добраться до Интернета. smile8)

15.04.2016 23:29:28

Непонятно, где тут проблемы с безопасностью. Непонятно чем ценные файлы могли оказаться доступны ремонтнику с непонятной мотивацией их восстанавливать.. Вот если бы был автовход в ДБО или там компромат на высокопоставленного чиновника - это даsmile:)

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии