Ноутбук нуждается в защите

Недавно у моего приятеля украли ноутбук. Как профессиональный дизайнер, он хранил на своем ноутбуке портфолио за семь лет работы, заготовки для текущих проектов и полностью настроенный Outlook с адресной книгой и всеми паролями для доступа к почтовому ящику. Что теперь делать? Конечно, некоторые данные можно восстановить. Несколько месяцев уйдет на портфолио и пара недель — на контактную информацию. Однако друг остается безутешным: каждую минуту в дизайнерском мире могут всплыть еще не сданные заказчикам работы. Вдобавок у приятеля мороз по коже идет при одной только мысли, что кто-то посторонний может читать его личные письма и переписку с клиентами. А ведь все эти сведения могут быть опубликованы в Интернете…

Между тем это был всего лишь личный ноутбук. Можно себе представить, как могли бы развернуться события, если бы друг работал не дизайнером, а, скажем директором финансового департамента и блокнотный ПК был “закреплен” за ним компанией. Утечка конфиденциальных данных была бы неизбежна, и кто знает, к чему могла привести такая кража -- к увольнению нерадивого сотрудника или уходу компании с рынка…

Это не очередная страшилка. Уже давно известна формула, согласно которой утечка 20% секретной коммерческой информации в 60% случаев приводит компанию к банкротству. При этом кража мобильных компьютеров с конфиденциальными сведениями сегодня стала обычным делом. Например, согласно исследованию Института компьютерной безопасности и ФБР, в 2004 г. 49% компаний столкнулись со случаями воровства ноутбуков, содержащих записи торговых секретов фирмы. В результате суммарный ущерб от этого вида потерь составил почти 7 млрд. долл. Более того, 97% всех похищенных ноутбуков так и не были найдены.

Однако и это еще далеко не все: сегодня преступники специально охотятся за портативными компьютерами топ-менеджеров или хотя бы обычных корпоративных служащих. Например, американский производитель самолетов компания Boeing в 2005 г. вследствие таких краж лишилась 250 ноутбуков, а всемирно известная Ernst&Young всего за пару месяцев осталась без десяти мобильных компьютеров, на которых содержались немаловажные сведения ее клиентов -- Nokia, Cisco, BP, IBM и Sun Microsystems.

В современном мире информация действительно начинает цениться дороже ее носителя. Продав украденный ноутбук, злоумышленник выручит максимум 1,5 тыс. долл., в то время как рыночная стоимость финансовых отчетов или интеллектуальной собственности, похищенных вместе с компьютером, может составлять миллионы. Кроме того, если абстрагироваться от материального ущерба, то бывшего владельца ноутбука ждет немало неприятных минут размышлений о том, чтó преступник может сделать с его личной перепиской и паролями для доступа к различным сервисам.

Таким образом, встающий перед корпоративными и домашними пользователями вопрос защиты чувствительных данных на мобильных компьютерах вряд ли стоит недооценивать. Задача организации такой защиты имеет несколько решений, некоторые из них будут рассмотрены ниже.

Защита ноутбука — это безопасность данных

Для мобильных компьютеров, содержащих конфиденциальные сведения, некоторые поставщики выпускают прямо-таки экзотические средства защиты. Например, компания SlappingTurtle предлагает установить на ноутбук (пока только MacBook) сигнализацию наподобие той, что уже много лет используется автолюбителями. Если компьютер с таким “антиугонным” устройством сдвинуть с места, то завоет сирена. Однако ноутбук все это время должен находиться во включенном состоянии. Во всех остальных случаях подобный метод защиты абсолютно бессилен.

Еще один оригинальный способ придумала компания Everdream. На ноутбук устанавливается специальная программа, которая тут же сообщит хозяину о местонахождении украденного компьютера, если преступник подключит его к Интернету. Однако такая защита шита белыми нитками, поскольку злоумышленник вовсе не обязан выходить в Интернет с похищенного ноутбука. Не подключая же его к сети, преступник спокойно может воспользоваться всеми конфиденциальными документами.

Таким образом, чтобы минимизировать потери в случае кражи мобильного компьютера, следует в первую очередь надежно защитить записанную на нем информацию. Самой эффективной технологией в данном контексте является шифрование, так как только тогда есть достоверная гарантия того, что преступник не сможет получить доступ к секретным данным Все остальные средства защиты, в том числе и описанные выше, могут служить лишь дополнением к криптографической защите, но никак не заменять ее.

Криптографические средства защиты

Отметим, что стандартные средства безопасности, поставляемые вместе с операционной системой или встроенные в нее, необходимо использовать в максимальной степени, однако дать серьезные гарантии защиты одно лишь их применение никак не может. Например, чтобы преодолеть пароль при входе в систему, опытному преступнику потребуется 5--10 мин. А чтобы обмануть стандартные списки контроля доступа (ACL), столь любимые пользователями Microsoft Windows, злоумышленнику понадобится обычный дисковый редактор, бесплатно распространяемый через Интернет, и 20--30 мин времени.

Более того, каждая операционная система обладает целым рядом механизмов дублирования данных. Так, когда пользователь удаляет документ, система всего лишь переносит его в корзину. А если стереть файл в корзине, то он останется на диске, просто система пометит его как “удаленный”. Используя бесплатные средства восстановления данных, доступные в Интернете, можно всего за несколько минут восстановить мегабайты стертой информации. Между тем удаление файлов — это еще полбеды, ведь помимо них существуют временные файлы, swap-файлы (файлы подкачки) и многое другое. В каждом из этих “потаенных мест” операционной системы остаются копии чувствительных данных пользователя. С одной стороны, это гарантирует отказоустойчивость и производительность системы, а с другой — представляет угрозу для безопасности. Таким образом, чтобы защитить информацию действительно надежно, необходимо специальное программное обеспечение.

Сегодня на российском рынке есть целый ряд компаний, чьи продукты позволяют надежно зашифровать данные. Это Aladdin, SecurIT, “ЛАНКрипто”, “Физтехсофт” и другие. Все, что требуется от пользователя, это установить программу на свой ноутбук и указать, какой раздел или разделы жесткого диска должны быть под постоянной защитой. Именно сюда следует помещать конфиденциальные документы и другую чувствительную информацию. Работа такой программы должна быть полностью прозрачна. Таким образом, шифрование осуществляется в фоновом режиме, и пользователь его даже не замечает. Это важный критерий, на который стоит обращать внимание при выборе ПО для защиты приватной информации.

Чтобы обеспечить надежное шифрование данных, разработчики применяют в своих продуктах проверенные временем криптографические алгоритмы. Некоторые компании позволяют пользователю подключать внешние алгоритмы шифрования, что значительно снижает вероятность слабой реализации проверенных криптографических схем и гарантирует действительно высокий уровень защиты. “Доморощенная” защита, основанная на секретных алгоритмах, не дает такой гарантии и со временем может обнаружить уязвимости, которым не преминет воспользоваться злоумышленник, — это лишь вопрос времени.

Например, фирма Aladdin, разработчик программно-аппаратного комплекса для защиты данных Secret Disk NG, рекомендует своим клиентам использовать надежные и производительные публичные алгоритмы шифрования AES и Twofish. Оба реализованы в криптографическом модуле Crypto Pack, который любой желающий может бесплатно загрузить с сайта компании.

Так, скорость работы алгоритма AES с ключом 128 бит достигает 46,55 Мб/с, а с ключом в 256 бит — 36,57 Мб/с, что позволяет защищать даже самые большие объемы данных в самых комфортных для пользователя условиях. Отметим, что для представителей российского бизнеса особенно важно, чтобы используемый для шифрования алгоритм был сертифицирован и разрешен к применению компетентными органами. Специально для этих целей в том же Secret Disk NG реализована поддержка сертифицированных отечественных криптопровайдеров “КриптоПро CSP” 2.0 и Signal-COM CSP, обеспечивающих шифрование с использованием алгоритма ГОСТ 28147--89.

В терминологии разработчика зашифрованные разделы называются “защищенными дисками”, они могут быть созданы в основных разделах и на логических дисках базовых дисков, в томах динамических дисков, на съемных носителях (USB-диск, ZIP-диск, магнитооптика и др.), а также на виртуальных дисках. Разнообразие возможностей обеспечивает гибкость в реализации защиты, позволяя самостоятельно конфигурировать систему безопасности своего ноутбука.

Применение средств шифрования тесно связано с аутентификацией пользователя, без прохождения которой невозможно получить доступ к данным. Короткий и простой пароль легко может быть подобран злоумышленником, а длинный и запутанный запомнить довольно сложно. Чтобы решить эту проблему, прогрессивные разработчики криптографических средств используют технологию двухфакторной аутентификации, реализованную с помощью USB-ключей или смарт-карт.

К каждой копии продукта прилагается аппаратный ключ (токен), который необходимо подсоединить к USB-порту компьютера при доступе к защищенной информации. Далее ключ запрашивает PIN-код, известный только хозяину компьютера. Таким образом, для доступа к информации пользователь должен обладать двумя секретами: самим токеном и PIN-кодом к нему. При отсоединении USB-ключа или смарт-карты происходит блокирование компьютера и автоматическое отключение дисков.

Заключение

По данным IDC, кража всего одного корпоративного ноутбука обходится компании в среднем в 4,6 тыс. долл. за аппаратное обеспечение и 46 тыс. долл. за потерянные конфиденциальные документы. Таким образом, именно информация сегодня представляет наибольшую ценность. Чтобы ее защитить, необходимо использовать надежные и проверенные технологии. Самым эффективным средством для этих целей является шифрование. Все остальные подходы могут служить лишь довеском, так как они не гарантируют даже минимального уровня безопасности.

Надо заметить, что утечка информации в результате кражи ноутбука чревата не только теми тысячами долларов, на которые указывает IDC, но еще и ударом по репутации компании, например, если на мобильном компьютере были записаны приватные сведения клиентов или партнеров фирмы.