Аутентификация и авторизация гарантируют превентивную безопасность; мониторинг, в свою очередь, реактивен и обеспечивает доказательства. Безусловно, превентивная концепция имеет ограничения, в то же время недостатки чрезмерного и неправильно внедренного мониторинга остаются часто без внимания.
В апрельском выпуске американского «Бюллетеня по информационной безопасности» Джон Арнольд размышляет о системах безопасности и мониторинга. Он считает концепцию наблюдения за сотрудниками обязательной составной частью современной инфраструктуры безопасности и одновременно умаляет значение превентивных концепций на базе аутентификации и авторизации сетевых ресурсов и приложений. Развивая идею признанного специалиста по безопасности Даниэла Гира, технического директора компании Atstake, он, прежде всего, подвергает сомнению способность систем управления однозначно распознать посредством идентификации конкретное лицо и, кроме того, указывает на их неспособность предотвратить злоупотребление информацией уже авторизованными и аутентифицированными пользователями.
Контролю доступа Арнольд отводит лишь две роли: удерживать пользователей от безответственных действий и предохранять от них систему наблюдения.
Подобная дискуссия давно ведется и в Германии, фоном для нее выступают современные правовые нормы. По этой причине имеет смысл повнимательнее рассмотреть выкладки Арнольда и Гира. Сами по себе они вполне последовательны — причем в статье из бюллетеня по безопасности на их основе формулируется законченная концепция системы мониторинга, но базируется она на предположениях, вызывающих сомнение. Кроме того, без должного внимания оставлены нетехнические аспекты безопасности и корпоративная практика.
ПРОБЛЕМЫ С ЗАЩИТОЙ ДАННЫХ
Мониторингом Арнольд называет не техническое наблюдение за сетью, а постоянный контроль за работой конечных пользователей. Для этого применяются специальные фильтры содержимого, системы обнаружения вторжений и превентивно работающие и записывающие все коммуникации на предприятии инструменты, которые в своих журнальных файлах сохраняют информацию обо всех действиях каждого пользователя в сети.
Подобное программное обеспечение очень широко распространено в США, в то время как в Германии его применение вступает в конфликт с требованиями защиты данных. История выхода американских инструментов мониторинга на немецкий рынок не была гладкой, поскольку проекты встречали массу возражений со стороны производственных советов и специалистов, отвечающих за информационную безопасность, и в некоторой степени создавали предприятиям мало содействующий продажам имидж «Большого Брата». Эти разногласия до сих пор являются причиной глубоких различий между подходами к защите данных в США и в «старой доброй Европе»: в первом случае — это вопрос «конфиденциальности», предмет договора, который человек, к примеру, заключает при поступлении на работу, а во втором — защита данных с точки зрения «информационного самоопределения» относится к правам человека, находящимся под юрисдикцией государства.
Первые попытки ввести усиленное наблюдение за персоналом были предприняты в Германии более пяти лет назад. Тогда впервые вошло в моду ассоциировать безопасность информационных технологий с контролем за сотрудниками. Специалисты обнаружили так называемую «внутреннюю угрозу» и предостерегли от опасности концентрации усилий исключительно на мониторинге внешних атак и применении брандмауэров. Наиболее обсуждаемыми темами стали разглашение тайн, манипуляции в локальной сети, неправомерное использование Web и электронной почты и посещение подозрительных сайтов. Юристы указали на ответственность предприятия за использование служащими коммуникационных устройств и провозгласили как неосторожных, так и злонамеренных пользователей потенциальными агрессорами против безопасности корпоративной информации.
Стремясь положить конец упомянутой борьбе против внутрикорпоративной защиты данных, производители инструментов мониторинга становились все более свободолюбивыми. В начале 2004 г. в целях удовлетворения всех требований по защите данных большинство производителей стали выступать за введение анонимных системных журналов с ограничением доступа к ним, а также за привлечение сотрудников к процессу внедрения решения, дабы способствовать принятию ими определенных мер по наблюдению. Немногие оставшиеся в стороне продолжают жаловаться на сопротивление защитников данных и пытаются изменить общественное мнение и правовую ситуацию, чтобы наблюдение встречало меньше препятствий.
Новинкой в этой области стало приложение для управления пропускной способностью: с его помощью можно предотвратить загрузку пользователями видео и тем самым избежать перегрузки корпоративной сети.
ГРАНИЦЫ ЦИФРОВОГО УДОСТОВЕРЕНИЯ
Первой и наиболее важной проблемой системы безопасности ИТ на базе аутентификации и авторизации, согласно Арнольду и Гиру, является то, что проверить можно лишь цифровое удостоверение личности какой-либо персоны, но не самого человека. Цифровое удостоверение назначается, его жесткая привязка невозможна, поэтому на крупных предприятиях под одним и тем же именем нередко работают несколько человек.
По мнению Гира, эта проблема в глобальном масштабе будет решена лишь тогда, когда все население мира будет пронумеровано. Арнольд также считает ее достаточно важной и относит к списку основополагающих ограничений превентивных концепций безопасности.
Рисунок 1. Заклятые враги в сети: Verdi проклинает наблюдение за сотрудниками... |
Однако вопрос о том, должно ли цифровое удостоверение персоны действовать глобально, остается открытым. Опасность возникновения путаниц на крупных предприятиях давно устраняется путем введения в базу данных дополнительного поля или схожего атрибута, к которому прибегают в том случае, когда для четкой идентификации пользователя одного имени недостаточно. Кроме того, далеко не всегда защита информационных технологий осуществляется исключительно средствами ИТ. Профессиональное цифровое удостоверение автора этой статьи, к примеру, защищено от неправомочного использования, поскольку потенциальному злоумышленнику сперва придется взломать две двери с автоматическими замками, прежде чем он попытается воспользоваться похищенным паролем. Единственная альтернатива доступа к клиенту — классический взлом, который, надеюсь, смогут предотвратить системы защиты периметра и прочие инструменты.
Вне офиса ситуация иная. Хотя из-за угрозы избытка паролей, скорее всего, будут предприниматься попытки снизить число персональных цифровых удостоверений, однако работа с раздельными регистрационными данными для частной и профессиональной области и различными процедурами регистрации уже сама по себе, вследствие эффекта повышения осознанности действий, представляет меру обеспечения безопасности, на которую не стоит закрывать глаза.
Стоит упомянуть и о том, что осознанное обращение с различными цифровыми удостоверениями, где содержится больше или меньше данных об их владельце, исследователи рассматривают как метод, с помощью которого пользователи смогут свободно распоряжаться информацией о себе во все более охватываемом сетями мире.
Рисунок 2. ...а Protectcom доводит его до совершенства по примеру «Большого Брата». |
Гир же философствует о будущем, в котором цифровое удостоверение человека составляется на основании его поведения и действий, причем эти аспекты постоянно наблюдаются при помощи биометрии, микросхем RFID и журнальных файлов. С тем, что эта идея может потерпеть неудачу применительно к защите данных, он согласен и сам.
СЛОЖНАЯ АВТОРИЗАЦИЯ
Второй ключевой аргумент против доверия к контролю доступа, по мнению Арнольда, — сложность определения потребностей пользователей на предприятии и ступенчатой авторизации доступа к ресурсам. Вдобавок роли отдельных сотрудников изменяются слишком часто, а значит, руководить этим процессом администратору вряд ли удастся.
Данный аргумент представляется сомнительным и перед лицом прогресса, которого продуктам по управлению идентификацией удалось добиться в гетерогенных инфраструктурах, и с учетом усилий по стандартизации со стороны, например, Союза свободы (Liberty Alliance). Новые разработки в области безопасности документов показывают, что число проблем с ограничением доступа скорее снижается, чем возрастает.
Очевидно, Арнольд имеет в виду не технические ограничения, а высокие требования к администратору системы аутентификации, который обязан разбираться не только в специфике функционирования аппаратного и программного обеспечения, но и в особенностях конкретных деловых процессов и корпоративных приложений. Однако, как обойтись без соответствующего специалиста, даже внедрив на предприятии систему мониторинга, остается непонятным. Пока этот вопрос не решен, невозможно оценить степень риска, что является непременным условием любой действенной концепции безопасности.
Третий аргумент Арнольда и прочих сторонников систем мониторинга прост: авторизация не может помешать уполномоченным лицам использовать их возможности в собственных целях. Правда, наблюдение также не в состоянии этому воспрепятствовать и лишь частично удовлетворяет требованиям, каковые предъявляются к корпоративному управлению рисками. Поясним на примере: если некий сотрудник похитит и опубликует конфиденциальные данные о клиенте, его работодатель вправе переложить ответственность на собственно исполнителя и тем самым частично избежать возмещения ущерба, однако вред потерпевшему все же будет нанесен. Кроме того, если предприниматель установил хорошее наблюдение, но ввел плохой контроль доступа и недостаточные директивы по защите данных, он едва ли сможет доказать, что сделал все возможное для предотвращения подобных ситуаций.
Таким образом, мониторинг сам по себе не является безальтернативным, управление доступом так и не сходит с дистанции. Однако даже если предприятие и без того разграничивает области применения превентивных и реактивных систем, недостатки мониторинга все же необходимо учитывать. С этим вопросом не в состоянии разобраться не только Арнольд, но и другие технические специалисты по безопасности, не слишком сведующие в психологии труда. Под постоянным контролем люди работают не так, как без него, ведут себя излишне осторожно и постоянно приспосабливаются, даже если сами они были не против наблюдения.
Это может ограничивать не только эффективность работы, но и сдерживать творческий потенциал менеджеров. Дабы не вызвать начальственного гнева, сотрудник по обслуживанию клиентов, к примеру, не станет сразу же предлагать нетрадиционное решение проблемы, пока не испробует все проверенные методы.
Продавец, возможно, не решится подписать нетрадиционный контракт с потенциальным клиентом, если опасается, что фильтрующая система способна расценить это как личное общение. В худшем случае в роли недовольных сотрудников, от которых и хотело бы защититься предприятие, выступают те, кто обеспечивает безопасность информационных технологий.
ДОВЕРИЕ СО СТРАХОВКОЙ
Реальную помощь в этой ситуации можно оказать опора на «принцип доверия». «Доверие» — это не социально-романтическое понятие, а, скорее, средство достижения эффективности как в личных, так и в деловых отношениях: если позволить кому-то действовать неподконтрольно, то можно сэкономить энергию, необходимую для наблюдения за ним. Арнольд путем странной, даже наивной цепочки аргументов пытается приписать своей концепции преимущества доверия: тому, за кем ведется наблюдение, можно доверять, поскольку он не может сделать ничего плохого — и по причине этого доверия наблюдаемый чувствует себя великолепно и работает охотнее и лучше.
Подобным образом доверие, конечно, «не работает» — кто-то должен в принудительном порядке и очевидным для партнера образом взять на себя риск злоупотребления доверием. Риск может быть уменьшен при помощи инструментария для мониторинга, но лишь тогда, когда последний встраивается в ориентированную на конечного пользователя концепцию и предоставляет свои данные администраторам и руководителям в исключительных случаях.
Большинство сообщений от системы мониторинга должно поступать не в рутинно проверяемые системные журналы, а в первую очередь сообщаться самому действующему лицу. Это имеет смысл прежде всего потому, что значительная часть нарушений информационной безопасности происходит не по злому умыслу, а из-за невнимательности. Например, если сотрудник отправляет через Internet секретные данные, то система мониторинга прежде всего укажет на угрожающую именно ему опасность, но не будет передавать информацию о событии дальше. Если пользователь настаивает на своем действии, которое может иметь хотя и не вполне обычную, но достаточно обоснованную причину, то в качестве следующего шага может быть затребовано согласие начальника или, в случае действий без особых последствий (после соответствующего сообщения), произведена запись в системный журнал. Когда доступ к системному журналу предоставлен только руководству и производственному совету, то принятию систем и извлечению из нее информации для судебных целей уже ничто не будет препятствовать — и они превратятся из исключительно реактивных в частично превентивные решения, поскольку уведомляют о нарушении правил безопасности.
Йоханнес Вилле — эксперт в области безопасности. С ним можно связаться по адресу: redaktion@lanline.awi.de.
? AWi Verlag