infosec

Консалтинговые компании и семейные офисы часто имеют дело с чувствительной информацией о своих клиентах и столь же часто игнорируют проблему безопасности этих данных. Хотя несанкционированный доступ к таким данным может не только нанести значительный ущерб клиенту, но и изрядно подмочить репутацию организации, допустившей утечку, далеко не все фирмы (особенно небольшие) считают нужным озаботиться защитой клиентской информации.

Это вызвано, с одной стороны, недостаточной осведомленностью и ленью, а, с другой стороны, опасениями, что безопасность – это дорого и сложно. Конечно, для создания системы защиты клиентских данных необходимо выделить некоторые ресурсы, но финансовые затраты не обязательно должны быть велики. Разобраться в самых базовых и доступных средствах защиты информации блогу Tax-Today.com помогает специалист в области системной безопасности, Александр Ставонин.

 

Вирусы и локальные угрозы  

Одно из самых простых и очевидных правил – использование антивируса. Антивирус должен быть первым приложением, которое устанавливается на только что приобретенный компьютер. Почта, веб-сайты, мессенджеры, USB-диски и многое другое может содержать вирусы. Антивирус хоть и не дает абсолютной защиты, но в любом случае сильно затрудняет заражение компьютера.

В качестве дополнительного способа защиты компьютера от вирусов выступает здравый смысл пользователя. На рабочем компьютере не должно быть установлено ничего сверх необходимых для работы приложений. Доступ к сайтам за пределами рабочих нужд должен быть ограничен, что означает запрет на доступ к Facebook, Вконтакте и прочим развлекательным сайтам с рабочего компьютера, на котором хранится конфиденциальная информация.

Электронная почта

Электронная почта представляет собой довольно большую проблему с точки зрения конфиденциальности данных. Мы все привыкли к таким сервисам как Gmail, Mail.ru и прочие и, конечно, не читаем лицензионных соглашений, на основании которых пользуемся этими сервисами. И очень зря, на самом деле. По большому счету, обмениваться конфиденциальной информацией посредством таких систем довольно опрометчивый шаг.

Во-первых, в таком случае пересылаемая информация хранится на серверах компании-провайдера услуг и анализируется роботами. Во-вторых, сотрудники компании-провайдера при наступлении определенных обстоятельств могут получить доступ к содержимому почтового ящика любого из своих клиентов (например, компания Microsoft получила доступ к личному электронному ящику своего сотрудника на одном из принадлежащих ей почтовых серверов, заподозрив, что сотрудник был источником утечки информации). В-третьих, электронная переписка – всегда лакомый кусочек для спецслужб и множественные скандалы и разоблачения последних лет показывают, что электронную корреспонденцию читают не только роботы компаний провайдеров, но и роботы спецслужб.

К счастью, с проблемами, связанными с конфиденциальностью почтовой переписки, можно справиться довольно легко. Самым простым и очевидным решением является использование компьютерной программы PGP (Pretty Good Privacy) для шифрования и дешифрования отправляемой и принимаемой электронной корреспонденции.

PGP совершенно бесплатна и принцип ее использования довольно прост. Сообщение шифруется перед отправлением и расшифровывается после его доставки конечному адресату. Таким образом, на серверах почтового провайдера и во время передачи его по сети сообщение всегда находится в зашифрованном виде, и какой-либо анализ и/или неавторизованный доступ к его содержимому не возможен.

Установка и настройка PGP выходит за рамки этой статьи, но не вызовет никаких проблем у рядового пользователя. На данный момент существует множество плагинов как для уже существующих почтовых клиентов, так и специализированные почтовые клиенты (например, для iOS), нацеленные на работу с шифрованной почтой.

При этом, пользуясь PGP, не стоит забывать о том, что шифрование почты – только один из необходимых шагов. Само по себе оно не предотвратит, к примеру, кражи ноутбука или телефона, на которых переписка хранится уже в расшифрованном виде.

Локальные файлы и кража устройств

Передача почты в зашифрованном виде будет слабым утешением, если компьютер или телефон украдены. Защита компьютера надежным паролем, само собой, не позволит злоумышленнику войти в систему, но никак не сможет помешать извлечь жесткий диск и подключить его к другому компьютеру.

Для того чтобы потеря компьютера не стала катастрофой, необходимо как минимум две вещи: надежный пароль (например, можно обратиться к рекомендациям Google по созданию паролей) и система криптования жесткого диска. Если вы работаете на Mac OS, то вам повезло и подобное приложение установлено по умолчанию. Для Windows придется воспользоваться сторонним приложением, благо большое количество производителей предлагает собственные решения.

Не стоит забывать о защите данных на мобильном телефоне. Современные телефоны по своему функционалу во многом сравнимы с компьютерами, и защита данных на них так же необходима. Храните важные данные на мобильном? Установите пароль на вход и шифрование данных. Активируйте опцию уничтожения данных, если пароль был введен неверно, к примеру, более десяти раз подряд.

Удаленное хранение файлов

С удаленным хранением файлов проблема аналогична проблеме электронной почты. Можно ли доверять Dropbox или OneDrive свои данные? Если речь идет о вашей музыкальной библиотеке или фотографиях из очередной туристической поездки, то, вероятнее всего, да. В то же время хранить подобным образом какие-либо конфиденциальные данные крайне не рекомендуется.

Совсем простого решения в данном случае не существует, но общее направление то же, что и в случае с электронной почтой. Все данные должны присутствовать в расшифрованном виде только на локальном компьютере. Ряд приложений, например, BoxCryptor, позволяет организовать как раз такое шифрование.

В качестве альтернативного варианта может выступить облачный сервис аналогичный Dropbox, но развернутый на собственных серверах, однако, очевидно что это не самое простое и недорогое решение.

Интернет-банкинг

Хотя риски при использования интернет-банкинга могут и не соотноситься напрямую с обеспечением безопасности клиентской информации, их также стоит принимать во внимание. Доступ к интернет банку можно считать относительно безопасным только из доверенной сети (например, в офисе или дома). Компьютер с которого осуществляется доступ, должен быть защищен анитвирусом с обновленными базами.

В качестве более безопасного, даже параноидального решения вопроса безопасного интернет-банкинга стоить упомянуть использование отдельного, специального компьютера или виртуальную машину (VMware, Parallels) с установленной на нем операционной системой Linux. Такая система должна использоваться исключительно для доступа к интернет-банку и ничему кроме него. Данный подход поможет минимизировать риски, связанные с заражением компьютера вирусами, так как, во-первых, вирусов для Linux практически не встречается, а, во-вторых, основной сценарий заражения – активное использование компьютера в развлекательных целях.

Новые операционные системы

Крупные корпорации хотят получать все больше информации о своих пользователях. Типичным проявлением данного желания является последняя версия операционной системы от Microsoft – Windows 10. Устанавливая/обновляясь до этой версии известной операционной системы, пользователь должен согласиться с лицензионным соглашением, благодаря которому Microsoft получает право доступа ко всей персональной информации пользователя, начаная с контактов (этим пунктом никого не удивить, все операционные системы, в том числе мобильные, давно хранят контакты пользователей удаленно в целях синхронизации между устройствами) и заканчивая доступом к личным документам, камере и микрофону. При этом корпорация оставляет за собой право использовать данный контент по своему собственному усмотрению, не указывая, в каких случаях это может произойти:

“We will access, disclose and preserve personal data, including your content (such as the content of your emails, other private communications or files in private folders), when we have a good faith belief that doing so is necessary to protect our customers or enforce the terms governing the use of the services.”

Сторонние компании уже выпустили приложения, позволяющие отключить шпионские механизмы в Windows 10, но с учетом того, что пользователь согласился поделиться данными с Microsoft на этапе установки операционной системы, данные механизмы вполне могут быть включены снова очередным исправлением операционной системы “по ошибке”.

Нельзя сказать, что корпорация Microsoft изобрела что-то новое в отношении доступа к личным файлам пользователя. Относительно малоизвестная операционная система Chrome OS наделяет компанию Google, наверное, даже более широкими полномочиями по доступу к конфиденциальной информации пользователя, так как хранит все пользовательские данные на своих серверах.

К сожалению, единственной операционной системой, до сих пор не пытающейся получить доступ к конфиденциальной информации, является Linux, который часто пугает не искушенного пользователя непривычным графическим интерфейсом и нетривильными проблемами в работе с внешним оборудованием.

 

***

Если вы работаете с конфиденциальной информацией своих клиентов, но при этом ваша компания хранит документы в Dropbox, активно использует в работе Gmail, прочие удобные, привлекательно простые и бесплатные сервисы, а на рабочих машинах установлена свежая Windows 10, вам стоит серьезно пересмотреть политики информационной безопасности в компании. Базовые мероприятия по защите информации не требуют больших финансовых вложений, но придется потратить небольшое количество времени на обучение сотрудников и, вероятно, части клиентов соблюдению элементарных правил безопасности.