Чтобы обеспечить информационную безопасность корпоративного электронного документооборота в нынешних условиях, потребуются новые методы и средства, учитывающие особенности доступа современных пользователей к корпоративным ИТ-ресурсам
Электронный документооборот топ-менеджеры рассматривают как один из инструментов повышения качества управления. За долгое время предприятиям удалось накопить немалый опыт внедрения решений в этой области. Примечательно, что вопросы информационной безопасности в электронном документообороте по-прежнему актуальны.
«В области информационной безопасности систем документооборота речь всегда шла о двух вещах, в которых ИТ-индустрия несильно продвинулась за последнее время, — отмечает Михаил Емельянников, директор по развитию бизнеса НИП “Информзащита”. — Первая: действие Федерального закона № 1-ФЗ от 10 января 2002 года об электронной цифровой подписи (ЭЦП), который существует сейчас. Фактически он не регулирует электронный документооборот, а отсылает к другим федеральным законам, поэтому постоянно возникает проблема возможности и законности применения ЭЦП и подтверждения юридической значимости электронных документов. Вторая связана с тем, что большинство систем электронного документооборота произведены на Западе, и когда в них пытаются встраивать российские средства криптографической защиты, то подтверждения корректности встраивания, правильности использования, отсутствия недекларируемых возможностей в электронном документообороте, как правило, никто не получает. Следовательно, нет уверенности, что они в достаточной степени обеспечивают безопасность».
Сергей Вахонин, директор по ИТ компании «Смарт Лайн Инк», считает, что системы электронного документооборота (ЭДО) сами по себе являются существенным звеном корпоративной системы информационной безопасности и обеспечивают качественное разграничение доступа пользователей к информации в зависимости от их бизнес-функций. В то же время, говорит он, не секрет, что чаще всего в качестве платформы ЭДО используется обычная электронная почта.
«Обнаружение уязвимостей (вендорами, потребителями и т.д.) и даже разработка контрмер или устранение ошибок еще не означает, что данная уязвимость выявлена и устранена в конкретной организации или на конкретном компьютере. На практике она может существовать еще достаточно долгое время, — отмечает Владимир Горностаев, специалист по ИБ компании “ИнтерТраст”. — Использование средств распределенной обработки данных значительно ослабляет эффективность централизованного контроля. Эти особенности необходимо учитывать уже на этапе проектирования информационных систем».
Серьезным риском для безопасности ЭДО сегодня становится требование его мобильности. Стоит помнить, что мобильность приводит к размыванию буквально всех границ информационной безопасности.
Границы периметра
Безграничная мобильность и размывание периметров создают новые проблемы безопасности, которые невозможно игнорировать. Появление новых мобильных устройств делает эти проблемы еще более острыми. Традиционные барьеры, отделяющие частные сети от сетей общего доступа, мобильные устройства — от настольных и сотрудников компании — от внешних пользователей, быстро исчезают. Коммуникационная среда становится все менее определенной.
По мнению Вахонина, нарастающая «мобилизация» образа жизни, расширение функциональности современных мобильных устройств приводят к тому, что пользователи не замечают разницы между личными и служебными устройствами, с удовольствием пользуясь функциями синхронизации данных между рабочими компьютерами и смартфонами. Часто ли при этом применяется защита данных на мобильных устройствах? И насколько серьезны последствия утери или кражи КПК с архивом почтовой переписки и списка контактов?
«За последние пару лет появились вредоносные программы для смартфонов на самых популярных мобильных платформах (Symbian и Windows Mobile), позволяющие заполучить конфиденциальные данные, хранящиеся на них, или затруднить их обработку (заблокировав, например, доступ к карте памяти). Знаковым событием является появление вредоносных программ для таких платформ, как Apple iPhone и Google Android», — подтверждает опасную тенденцию Роман Косичкин, руководитель группы консалтинга и предпродажной поддержки «Лаборатории Касперского».
По мнению Вахонина, на рынке представлено много различных решений. Часть их основана на модели, в которой во главу угла ставится информация и ее ключевые признаки, она обеспечивает контроль документооборота на основании фильтрации контента. Для этого существует множество методов: контроль по регулярным выражениям, контроль по цифровым отпечаткам, морфологический анализ контента, классификация документов и пр. Другая часть представляет собой проактивный вариант защиты, когда во главу угла ставятся контекстные условия, связанные со значениями таких параметров, как «кто», «куда», «когда» и т. п. (то есть с динамическими параметрами пользователя). С технической точки зрения такие решения представляют собой инструмент контроля доступа пользователей к внешним устройствам, носителям данных, мобильным устройствам, принтерам и т. п.
Косичкин напоминает, что защита от информационных угроз — это комплексный процесс, который включает в себя не только технические средства, но и многие другие, в том числе физические и организационные. «Если сотрудник находится в стенах своей организации, то меры защиты организовать легко — скажем, можно оставить мобильное устройство в запертой комнате, откуда его не так легко унести. Всегда найдется компетентный сотрудник (например, администратор), который подскажет, как лучше организовать защиту конфиденциальных документов, хранящихся на устройствах, и поможет в этом. Как только сотрудник оказывается за пределами офиса, меры защиты перестают действовать (например, сотрудник может оставить коммуникатор с данными компании на столике в кафе) либо ослабляются до недопустимой степени (не выключается Bluetooth)».
Новые вычислительные устройства (и сценарии их использования) появляются так быстро, что компании все с большим трудом обеспечивают их безопасность. В течение недели сотрудник может работать на настольном компьютере в офисе, на мобильном компьютере — дома, на смартфоне — в дороге и на ноутбуке — в гостиничном номере. При этом он будет пользоваться самыми разными операционными системами, приложениями и сетями (корпоративными, операторскими и т. д.). Контролировать эту работу практически невозможно.
«Электронный документооборот, внедряемый в России, изначально был рассчитан на использование его на рабочих местах, предоставленных работодателем, никто не задумывался над тем, как обеспечить мобильность пользователей, — отмечает Емельянников. — Чаще всего никакого подтверждения соответствия используемых решений требованиям информационной безопасности получить не удается».
Оттенки проактивной защиты
Корпоративные сети становятся все более динамичными, и системы информационной безопасности не должны от них отставать. Но если сотрудники непрерывно перемещаются в офисах и за их пределами, пользуясь при этом самыми разными мобильными устройствами, то где тогда проходит граница корпоративной сети? А если мобильные устройства сотрудников подключаются к сетям, которые не находятся под контролем их предприятия (например, сети сотовых операторов, Wi-Fi, WiMAX, широкополосные сети и т. д.), как обеспечить безопасность каждого сеанса мобильной связи?
Традиционная защита, основанная на межсетевых экранах, уже недостаточна. Она может весьма эффективно блокировать доступ внешних злоумышленников в корпоративную сеть, но способна ли она охватить внешние сетевые сегменты? Безграничная мобильность создает проблемы не только для беспроводных сетей. Мобильный пользователь получает доступ к сети с помощью различных видов телекоммуникаций — и фиксированных, и беспроводных. Как создать систему безопасности для всех перечисленных сценариев? Понятно, что система безопасности должна защищать не «пользовательский» доступ, а доступ вообще, а сеть должна оценивать «добропорядочность» каждой попытки передачи и приема информации, при этом необходимо производить оценку людей, устройств и приложений на предмет возможного «злого умысла».
Традиционные межсетевые экраны делят мир на «свой» и «чужой», «белое» и «черное». Современные системы безопасности должны различать гораздо больше оттенков. Конечно, если пользователь не может ввести правильный пароль, то он не получит доступа к корпоративной системе. Для оценки добропорядочности людей и безопасности работы физических и виртуальных устройств этого уже мало. Приходится использовать «жесткие» и «мягкие» критерии.
Современная система защиты должна уметь рассматривать целый ряд факторов: профиль пользователя, его местоположение и репутацию. Сочетание перечисленных динамических атрибутов создает основу для новой методики идентификации пользователей и устройств, которая может стать частью аутентификационного процесса. К сожалению, пока сообщество располагает только некоторыми элементами для реализации такого подхода. Отделение функций безопасности от физической топологии сети потребует немалых усилий.
Существующая мировая практика создания общедоступных добровольных систем подтверждения подлинности позволяет отслеживать выход пользователя в сеть из разных точек мира с очень коротким интервалом, который не соответствует такой скорости перемещения. Необходимо создание системы федерального масштаба, которой в России нет. Самое главное — пока не чувствуется готовности со стороны каких-либо структур выступить участниками такой системы.
При растущей доле государственных персонифицированных информационных услуг в роли создателя такой системы могло бы выступить государство, банки или страховые компании, заинтересованные в борьбе с мошенничеством в своей среде.
Емельянников осторожен, говоря о перспективах подобных государственных инициатив: «Судя по созданию сайтов государственных электронных услуг, крупные госструктуры идут по пути создания самостоятельных систем идентификации, аутентификации, подтверждения прав. Попыток создать для этого единую систему, пронизывающую все органы власти государства и субъектов Федерации, пока не наблюдается. Поэтому надеяться, что инициативу проявит банковское или страховое сообщество, не приходится».