Сейчас очень интересно наблюдать за эволюцией технологий ИТ-безопасности, даже не столько с точки зрения ИТ-профессионала, а просто проводя аналогии с развитием человеческого общества. До недавнего времени все меры безопасности сводились к защите периметра – “отрезать” всем интернет, поставить файервол, поделить сеть на Vlan, заблокировать порты… ИТшники как бы возводили неприступную крепостную стену вокруг своего города и все усилия направляли на её поддержание и защиту. Никого не впускать и никого не выпускать – очень действенная мера защиты. А чтобы никаких секретов не вынесли наружу, снова применяется самое простое и довольно грубое решение – заблокировать всем всё. Отключить все съёмные приводы, залить термоклеем USB порты… Помните, в средние века было своего рода традицией ослепить архитектора, или даже казнить, чтобы не смог повторить свой шедевр в другом городе?

Но мир меняется. Городам нужны товары и рабочая сила, нужно поддерживать дипломатию и торговать с другими городами, нужны дороги (читай “каналы связи”). И угрозы становятся более серьёзными, теперь это не бандиты-одиночки, а хорошо организованные группы, которые к тому же действуют в интересах и при поддержке недружественных соседей. И нам тоже нужны теперь могущественные союзники. Отсидеться за крепостной стеной – больше не вариант.

Тенденции, с которыми уже сталкивается современная ИТ-инфраструктура:

  • появляется всё больше мобильных пользователей, которые работают за пределами защищённого периметра предприятия, из дома, или в командировке.
  • для выполнения работ могут привлекаться сторонние организации (например, аудиторы), которым нужно предоставить доступ к конфиденциальной информации.
  • пользователи всё чаще используют для работы личные устройства, в том числе планшеты и смартфоны.

Выводы: теперь нужно защищать не периметр, а саму информацию (файлы), вне зависимости от того, где пользователь с ней работает, или даже в тех случаях, когда этой информацией уже успел завладеть злоумышленник. 

Как решить эту задачу? Ответ простой и очевидный – шифровать, и вот здесь мы, наконец, подобрались к самому интересному. На рынке существует много решений для защиты от утечки информации, такая возможность даже встроена в некоторые известные антивирусы. Но… при подробном рассмотрении картинка оказывается совсем не такая радужная, как на страничках рекламных буклетов. Рассмотрим возможные сценарии, возникающие проблемы, и то, как с ними справляются разработчики (давайте, чтобы никого не обидеть , назовём его “обычный разработчик”). Самое простое и очевидное, что приходит в голову, это “зазиповать” файл с паролем. Одна проблема, вроде бы, решена, но возник целый ряд новых неудобств:

  • нужно каждый раз файл извлечь из архива, а после изменения снова заархивировать. Это неудобно отнимает лишнее время, и всё равно где-то остаётся незашифрованный оригинал, который надо не забыть удалить.
  • во время редактирования файл всё равно остаётся незащищённым
  • вы можете поделиться файлом с партнёрами, но вместе с ним придётся передать и пароль, поэтому надо каждый раз придумать (и запомнить) новый пароль во избежание компрометации. Ещё сложнее, если файл находится в совместном пользовании группой пользователей. Для каждой группы придётся использовать разные пароли, и пароль придётся менять при изменении состава группы.
  • для обеспечения безопасности пароль придётся передать отдельно от самого файла, при этом воспользоваться каким-то защищённым каналом связи. Это требует дополнительных решений.
  • после того, как вы поделились файлом, вы уже не можете контролировать его дальнейшую судьбу и безопасность. Его могут передать ещё кому-то, расшифровать и сохранить уже в открытом виде
  • нет возможности разграничивать уровень доступа – чтение, редактирование, пересылка, и т.д.

Как работают обычные решения для шифрования? По сути, так же, они просто шифруют ваш файл с паролем. Разница в том, что на ваш компьютер устанавливается специальная консоль, которая устраняет часть перечисленных выше проблем:

  • распознаёт зашифрованные файлы, и при попытке их открыть автоматически расшифровывает, а при закрытии снова шифрует. Это экономит ваше время и снижает риск ошибок.
  • запоминает пароли на все файлы, которые вы зашифровали, и на те, которыми с вами поделились. Теперь пароль надо ввести только один раз. Но только на своём компьютере. Если вы пытаетесь открыть файл из другого расположения, вам снова придётся вспоминать нужный пароль.
  • некоторые разработчики реализуют возможность использовать разные пароли для чтения и редактирования, то есть позволяют разграничивать права доступа. Но при этом все остальные проблемы сохраняются – велика вероятность компрометации пароля, нет возможности контролировать файл после публикации, невозможно управлять групповым доступом.

Но всё же надёжное и удобное средство существует – это технология Microsoft RMS. Как это работает:

  • Все данные о правах пользователей хранятся в единой базе данных. Для того, чтобы открыть файл или сообщение электронной почты, защищённые RMS, пользователь должен авторизоваться в службе, после чего получает доступ ко всему, что ему разрешено.
  • Удобно управлять правами в группе. При переводе сотрудника, например, в другой отдел, он автоматически получит доступ к информации, которая ему полагается по новой должности, и потеряет доступ к тем файлам, которые ему больше не должны быть доступны.
  • Права можно гибко настраивать, например, защищённый файл можно будет просмотреть, но нельзя сохранить, отправить по электронной почте, распечатать, скопировать в буфер и даже сделать скриншот.
  • Если файл скопировали, унесли на флэшке, передали ещё кому-то, всё равно его невозможно открыть без соответствующих прав.
  • Права можно отозвать. Если пользователь утратил доверие, то он не сможет открыть зашифрованный файл, даже если успел его унести.
  • Можно заранее задать “срок годности”. Например, если вы передаёте какие-то данные сторонним аудиторам, и хотите, чтобы через месяц, после выполнения работ, никто уже не мог этими данными воспользоваться.
  • Возможна автоматическая классификация и применение политик. Например, вы отправляете по электронной почте обычный текстовый файл, и в теме письма пишете слово “конфиденциально”. И всё автоматически шифруется, и будет доступно только получателям.
  • Можно отслеживать, кто и когда открывал документ.
  • Только один недостаток: требуется подключение к серверу. Если вы в “оффлайне”, то доступа к зашифрованным данным не будет.

Это реально круто, и совсем не мешает. Конечно, лучше всего работает в сочетании с другими службами. Хотите узнать больше – спрашивайте 🙂

 

Microsoft RMS – удобное средство защиты конфиденциальной информации
Поделись с друзьями:

Отправить ответ

Please Login to comment

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.

  Subscribe  
Уведомлять
Перейти к верхней панели