Об информационной безопасности

Но компьютеры в памяти прочно хранят

                                                                       Обо мне много всяких хреновин.

                                                                      /Из песни Вилли Токарева/

Чемодан компромата вполне помещается в регистре последнего набранного телефонного номера «redial»

                                                                                  /эпиграф/

Это не пособие для службы защиты информации. Это – даже не защитная инструкция, всего лишь напоминание рядовому гражданину об особенностях нынешнего мира рядового радиоинженера.

Мир в настоящее время стал информационно насыщенным и информационно прозрачным. Прозрачность обеспечивается колоссальным объёмом накопленной, далее растущим, открытой информации, которую множество организаций и лиц сортируют и упаковывают в базы данных. Эту информацию о себе пополняем мы сами через т.н. социальные сети, собирая и сортируя свои файлы. Мы рассказываем в них о родных, друзьях, они – о нас. Эта информация множится, транслируется и ретранслируется, циркулирует по многочисленным сетям разной физической природы – курьерами, электрическими, радио- и оптическими сетями и каналами. А сама сеть состоит из фрагментов-участков разной природы – проводной, релейной, оптоэлектронной и т.д., которые образуют переключаемые каналы её передачи.

Особенность всех сетей и каналов связи – их контролируемость. Без этого невозможно обеспечить их долговременную работоспособность. Потому к каждому фрагменту сети может быть подключено устройство контроля с двух сторон (с оператором или без), чтобы обеспечить проверку неискаженной передачи такой же информации, передача которой вызвала претензию клиента (пользователя) этих сетей. Фактически, такая операция неотличима от подслушивания. Чтобы обеспечить заданную надёжность важных сетей каналы и/или информацию многочисленно дублируют, а часто кодируют. Коды позволяют управлять не только информацией, но и управлять каналами, менять конфигурацию сетей, восстанавливать утраченные части информации, имитировать контролёра на обратном конце канала связи при проверке и скрывать его.

Технологически операция контроля обеспечивается транзитом тестовых сигналов через встроенные или подключаемые дополнительные устройства, а также «замки»-ключи к ним - «порты», допуски (логины), пароли, маски и т.п. Большая их часть представляет собой комбинации символов – букв и ц/или цифр - коды. Чем длиннее слова из этих символов – тем надёжнее пароли (password, login). Часть их известна многим работникам связи, часть – болем скрыта, в связи с тем, что программное обеспечение и часть приборов связи – чёрный ящик для большинства, кто пользуется услугами связи и даже её обслуживает. Основой сохранения секретов является ранжирование доступа к каналам – каждый служащий должен знать ровно столько, сколько необходимо и ДОСТАТОЧНО. Рядовой телефонист проводной связи знает, где подключен Ваш домашний телефон, набрав какой номер своего телефонного аппарату он узнает номер телефона любой квартиры СВОЕГО участка, какими кабелями они соединяются с ячейками АТС. Разумеется, ОН может вместе с Вами слушать Ваших респондентов. Без этих  знаний ему не найти нужный провод в паутине соединений. Начальник узла связи это может делать, не выходя из служебного кабинета. Это позволяет ему упреждать претензии. Служба безопасности может слушать Ваши разговоры в Вашем помещении, в т.ч. с помощью телефона по которому НЕ разговоров не ведут. Ведь микрофон там весьма чувствителен – Вам наверняка часто приходилось слышать на фоне разговора с респондентом иные, для Ваших ушей не предназначавшиеся. А современные устройства программно дистанционно управляемы, так что отключить демаскирующую сигнализацию и/или индикацию программисту не проблема. Так что момент подслушивания Вы не узнаете, разве что случайно - участятся звонки ошибочных респондентов, гудки, эхо, чужие разговоры … О том, что лучшего микрофона для подслушивания, чем радиоточка в каждом доме трудно найти, большая страна узнала от А.Солженицина. 

К слову, в качестве микрофона подойдет даже батарея отопления. Для тех, кто интересуется подробностями – прочитайте принцип работы параметрического микрофона или добротное польское пособие по электронным ДЕТСКИМ игрушкам. Более высоких допуск к сетям имеет разработчик таких сетей, аппаратов и каналов связи. Однако даже он знает лишь незначительную часть, о которой его извещает разработчик аппаратов связи. Как правило, разработчик телесетей и компьютеров (он тоже часто аппарат связи и всегда – хранитель информации) может определить ВСЕ нижнего ранга допуски и ключи (пароли). Это связано с тем, что, как правило, пользователи его продукцией менее компетентны и приходится зачастую проверять и поправлять при сбоях работу местных связистов ВМЕСТО них. НО даже они всего не знают. Часть доступа скрыто на уровне конструкции частей аппаратов, элементов и покупных иностранных программ, о которых знают частично – лишь продавцы их, и полностью – ИХ разработчики.

Общеизвестно, что в силу астрономической себестоимости программ, они частично (как правило - всегда) дотируются государством (спецслужбами), которые торгуют ими (за деньги, по бартеру и т.д.) с лояльными государств, и НИКОГДА не раскрывая ВСЕХ особенностей (секретов доступа). Так что государство, покупая подобные иностранные товары и услуги (аппараты и программное обеспечение) ВСЕГДА зависимо от лояльность и «честности» продовца, а особенно, - производителя и в один прекрасный день может вместо товара остаться с грудой ненужного железа или расплачиваться «в кредит» ворованной с его помощью информацией.

Зацитить себя абсолютно рядовой гражданин от развитого технологически государства в принципе не может в силу разных обстоятельств (низкая квалификация, ограниченные финансы, аппараты, скрываемые функции, технология и техника антиподслушивания под запретом и секретом). Допускаю, что даже требование использовать ДЛЯ ВСЕХ стандарт кодирования по мотиву надёжности сохранения секретов  – лишь средство дёшево Вашему государству читать то, что Вы прячете.

Однако многие сообщения могут читать и народные умельцы. Призывы части населения страны к люстрации, когда взгляды на ряд вопросов стали полярными, купить танк или систему Д-30 стало не проблемой, потому на бытовом уровне народ становится ВОЗДЕРЖАННЫМ. Кроме того много стало просто любопытных, которые могут счесть себя не обязанным хранить Ваши секреты.

Вот некоторые распространенные возможности, о наличии которых Вам полезно знать.

Стертая информация персонального компьютера (для краткости далее – ПК) может быть восстановлена. При этом неважно, что Вы очистили «Корзину» ПК или полностью очистили (форматировали) диск, флешку. Пусть даже в разных форматах, и – не раз. Фактически, как правило, удаляются лишь каталоги, т.е. пути к Вашей информации (файлам).

Если уж Вам исправляет грамматические ошибки ПК, распечатывает (распознает) речь, если ещё в 80-ые годы, говорят, в Ленинграде БЭСМ выборочно распознавала по характерным 400 словам телефонных респондентов-террористов-оппонентов КПСС; ныне фотоаппарат распознает улыбку, будьте уверены, ПК в состоянии из кусков магнитной записи склеить то, что Вы пытаетесь выбросить или спрятать. Причём такую программу может скачать из интернета третьеклассник. Среди фото в соцсетях мощный компьютер в состоянии выбрать ВСЕ Ваши изображения, и борода с наклеенными усами не помешает – не позволит их спрятать (главное в правильный матряд их (фрагменты фото) разложить и отфильтровать. Насколько эффективны бывают фильтры укажу на достижениях аппаратуры сейсморазведки по состоянию 1973 года – она позволяла записывать с качеством симфонического оркестра как взрыв противотанковой гранаты в 10 метрах, так и шелест травы в безветренную погоду. В тех же годах шведские (и советские) медицинские аппараты, разложив в ряд кардиограмму, ставили больным диагноз сердечным заболеваниям с погрешностью в 3 %.

Низкая квалификация многих начинающих работать с ПК, производственная необходимость заставила пополнить ПК возможностью дистанционно управлять рабочим столом удаленного компьютера. А сами компьютеры ныне оснащают встроенными и подключаемыми микрофонами и телекамерами. Это означает, что каждый уголок Вашего компьютера, а также - квартиры может быть доступен любому негру (в смысле, даже и из-за океана). А о том, что государству это ОЧЕНЬ интересно, свидетельствует норматив Канады, обязывающий копировать жёсткие диски всех ПК при пересечении её границы. А то, что случается при наборе одного номера, высвеченного на экране аппарата, попадать к иному абоненту, лишь подтверждает, что можно организовывать связь, не ставя в известность респондентов, для этого нужно лишь программно скорректировать извне органы индикации. К тому же мы САМИ открываем свой компьютер, разрешая пополнять и ОБНОВЛЯТЬ программы. Вы ведь не раз читали транспаранты: Ваша информация нужна для …. и не будет использована Вам во вред. Хотите … верьте. Китай пользование айфонами запретил – не верит.

Вступая в соцсети, переписываясь по E-mail, открывая странички в интернете, выступая на форумах, от Вас требуют назвать себя. Даже скрывая себя, Вы раскрываете заводские номера или электронные коды Ваших компьютеров. Так что Ваша анонимность – фикция. Вы помогаете себя идентифицировать, звоня через интернет со своего мобильного или на мобильный своих друзей-родных, принадлежность которых к использованному каналу связи можно найти в ведомственных справочниках. Даже, если ВІ самих раните инкогнито – это не сделает хоть один из Ваших респондентов, ремонтер Вашего ПК, Ваш ребёнок, которых захочет скачать игру или похвалиться СВОИМИ достижениями и контактами.

Пере6ходя с одной сети на другую, Вы знакомите со своими паролями многих НЕПРИЧАСТНЫХ, а Ваша переписка, активность, Ваша биография, связи, гражданская позиция и проч. – доступны многим, среди которых могут оказаться недоброжелатели.

Сейчас много частных лиц собирает списки сторонников или противников той или иной идеи, концепции, партии, движения, лиц. Потому выполнять некоторые меры безопасности надо знать и выполнять. Не буду писать инструкции – Вы её можете создать сами.

Привлеченные эксперты позволят Вам решать за Вас такие вопросы:

У кого есть доступ к данным?

Кто и как работает с данными?

Где находится наиболее важная/конфиденциальная информация, требующая особого подхода и как  обеспечить минимально необходимый доступ к ней?

У кого должен быть доступ к данным?

Каковы риски, связанные с избыточным доступом?

            При этом Вы практически не защищены от их недобросовестности и нелояльности к Вам.

Ниже приведены избранные рекомендации банка клиентам по работе с ПК, имеющим доступ к дистанционному управлению Вашим счётом, т.е. к Вашим деньгам. Это достаточно полные меры информационной  безопасности  <http://www.google.ru/url?sa=t&rct=j&q=&esrc=s&source=web&cd=43&cad=rja&uact=8&ved=0CD4QFjACOCg&url=http%3A%2F%2Fwww.vtb.ru%2Fdocs%2Fvtb%2Fbusiness%2Fcorporate%2Fonline_banking%2Finformation_security%2Finformacionnay_bezopasnost_v_systeme%2520DBO%2Finformacionnay_bezopasnost_v_systeme%2520DBO.doc&ei=z8DDU5yMMqjQ7AaU0IDIDg&usg=AFQjCNGW2YP0O4_h4l-bHKr83_PGvH4B3Q>

- Установите и регулярно обновляйте лицензионное антивирусное программное обеспечение на Вашем компьютере. Действие вирусов может быть направлено на перехват Вашей персональной информации и передаче её злоумышленникам.

- Своевременно устанавливайте обновления операционной системы своего компьютера, рекомендуемые компанией-производителем в целях устранения выявленных в нем уязвимостей. Регулярно выполняйте обновления (патчи) операционной системы и браузера Вашего компьютера, так как данные действия значительно повысят его уровень безопасности.

- Установите и настройте персональный брандмауэр (firewall) на Вашем компьютере. Это позволит Вам запретить несанкционированный удаленный доступ к Вашему компьютеру из сети Интернет и Вашей локальной сети с использованием удаленного управления компьютером и терминального доступа. Дополнительно можно настроить брандмауэр на доступ только по адресам Системы ДБО (https://i.vtb.ru) (системой банковского обслуживания).

- Используйте дополнительное программное обеспечение, позволяющее повысить уровень защиты Вашего компьютера – программы поиска шпионских компонент, программы защиты от «спам» - рассылок.

- Храните ключи только на съемном носителе (USB Flash). Хранение ключевых носителей должно быть организовано в месте, недоступном для посторонних лиц. Установка ключевых носителей на рабочее место допускается только непосредственно на время работы с интернетом.

ВАЖНО: После окончания сеанса связи съемный ключевой носитель должен быть незамедлительно извлечен из компьютера!

- Копирование ключевых носителей возможно только в целях резервирования, при этом резервные носители должны храниться в недоступном для посторонних лиц месте и использоваться только в случае порчи основного носителя.

- Если Вы используете несколько ключей (например, первая и вторая подписи), (допуск и логин, в частности)  - не переносите эти ключи на один ключевой носитель, а также не подключайте одновременно различные ключевые носители к компьютеру.

- Для контроля доступа к съемному ключевому носителю рекомендуется на него установить пароль.

ВАЖНО: Не сообщайте никому пароль для доступа к съемному ключевому носителю (включая сотрудников Вашей организации или Ваших родственников)!

- После окончания работы с сайтами, почтой и т.п. обязательно корректно завершите работу (выйдите с использованием кнопки «Выход») и/или закройте приложение Internet Explorer.

ВАЖНО: Извлеките из компьютера съемный ключевой носитель!

-  Периодически производите замену ключей ЭЦП (электронной цифровой подписи) до истечения срока их действия. Кроме того, проводите замену ключей ЭЦП во всех случаях увольнения и/или смены лиц, имеющих доступ, а также в случаях увольнения и/или смены лиц - руководителей с правом подписи доверенностей на получение ключей ЭЦП (электронной цифровой подписи, и в случае подозрений на их компрометацию.

- В обязательном порядке следует отключать Автозапуск в операционной системе (для OS Windows: «Панель управления» -> «Администрирование» -> «Службы»; необходимо найти в закладке «Расширенный» службу «Определение оборудования оболочки» и установить «Отключено»);

- Исключите посещение с Вашего компьютера сайтов сомнительного содержания и любых других Интернет-ресурсов (социальные сети, форумы, чаты, телефонные сервисы и т.д.), а так же чтение почты и открытие почтовых документов от недостоверных источников.

- Категорически не рекомендуется работать из мест, не заслуживающих доверия (интернет-кафе) или с использованием общественных каналов связи (бесплатный Wi-Fi и т.п.), так как это существенно увеличивает риск кражи Ваших персональных  данных.

- Регулярно контролируйте состояние своих счетов (выборочно – важных файлов) и принимайте дополнительные меры безопасности при всех подозрительных или несанкционированных операциях.

- На компьютере не рекомендуется устанавливать иное программное обеспечение, кроме необходимого для работы. Рекомендуется использовать для работы внешними источниками выделенный компьютер.

- Права пользователя на данном компьютере должны быть минимально необходимыми (наличие прав администратора нежелательно).

- Не привлекайте для администрирования и обслуживания компьютера с установленной на нем программным обеспечением технических специалистов на условиях предоставления им удаленного доступа к компьютеру. 

- Не рекомендуется осуществлять платежи за час до окончания операционного времени в пятницу и в предпраздничные дни.

- Логины и пароли для работы - это Ваша персональная конфиденциальная информация. Ни при каких обстоятельствах не раскрывайте свой логин и пароль никому, включая ДАЖЕ сотрудников Банка. При обращении от имени Банка по телефону, электронной почте, через SMS лиц с просьбами сообщить конфиденциальную информацию (пароли, кодовые слова, и т.д.) ни при каких обстоятельствах не следует сообщать данную информацию.

- Не сохраняйте Ваш логин и пароль в текстовых файлах на жестком диске компьютера, либо на других электронных носителях информации, т.к. при этом существует риск его кражи и компрометации.

- В случае сбоев в работе компьютера или его поломки во время/после работы (проблемы с загрузкой операционной системы, выход из строя жесткого диска, и т.п.), следует НЕМЕДЛЕННО извлечь ключи и выключить компьютер, а также обратиться в Банк и убедиться, что от Вашего имени не производились несанкционированные операции. Знайте, что даже изношенный диск и нечитаемая флешка – источник информации для умельца.

- Обращайте внимание на любые изменения в привычных для Вас процессах установления соединения или в функционировании ПК. При возникновении любых сомнений в правильности функционирования ПК незамедлительно обратитесь к опытному специалисту, кому доверяете, в случае с работой с системой Банк-Клиент  - в банк.

- При работе (сервис «Интернет-Клиент») убедитесь, что защищенное соединение по протоколу https установлено именно с официальным сайтом услуги (https://i.vtb.ru/) . Настоятельно не рекомендуется переходить на данную страницу по ссылке с Интернет-ресурсов (за исключением официального ресурса Банка, www.vtb.ru) или поступивших по электронной почте писем.

- В случае появления предупреждений браузера о перенаправлении Вас на другой сайт при подключении отложите совершение операций и выключите ПК.

Несколько слов о телефонах.

Существует всего два принципиальных способа защитить свои разговоры от прослушки по сотовому телефону.

- Периодически менять СИМ карты и одновременно менять телефоны

- Пользоваться всевозможными криптофонами.

Всевозможные маскираторы речи, создают только видимость защищенности от прослушки сотового.

Каждый из способов имеет как достоинства так и недостатки.

            В заключение - несколько дополнительных замечаний:

- пересылая чужие письма, не тиражируйте контакты, Ваших респондентов, ведь возможно им это повредит;

- уважайте безопасность респондентов - не храните их письма, если актуальность в них отпала;

- важные электронные адреса храните на отдельном защищенном носителе,

- папки наименований НЕДАВНО ПРОСМОТРЕННЫХ файлов и страниц настолько же помогают внешним операторам Вашего компьютера, насколько и Вам.

Владимир Салтыков, Ужгород