Найти тему
#мудрости
13,6 тыс подписчиков

Как предотвратить утечки информации с компьютеров в организации

722
5 мин
Оглавление

Здравствуйте, друзья!

Несколько скандальных публикаций в последнее время сподвигли меня поделиться базовыми принципами защиты от утечек информации с компьютеров в организации.

Именно в организации, ибо описанные меры защиты сомнительны для домашнего ПК. Хотя некоторые тоже можно применить.

Что же нужно предпринять, чтобы предотвратить утечку информации?

0. Настроить систему ограничения и контроля доступа к критичным ресурсам.

Сотрудник, не имеющий доступа к конфиденциальным или критичным для бизнеса данным - не может ничего скопировать. А доступ нужно выдавать только тем, кому он нужен, после тщательной проверки обоснований. Периодически проводить аудит кто куда имеет какой доступ.

Профилактика мер предотвращения утечек будет не лишней.

1. Запретить доступ к локальным дискам компьютера

Имеющий доступ к важным данным сотрудник может скопировать их на локальный диск компьютера. А дальше - извлечь его и унести. А вот если доступа к локальному диску нет, то ничего не выйдет.

Как вариант - шифрование всех данных на локальном диске компьютера. Например, встроенной технологией BitLocker.

Давно известна тема использования виртуальных рабочих мест (VDI) и тонких клиентов. В таком компьютере внутри вообще нет никаких дисков, на которые можно что-то сохранить. Вся рабочая среда находится на защищённых серверах.

Тонкий клиент. Это такой же компьютер, но другой. У него внутри ничего нет. (фото https://media.stockinthechannel.com)
Тонкий клиент. Это такой же компьютер, но другой. У него внутри ничего нет. (фото https://media.stockinthechannel.com)

2. Запретить использование USB портов

Отключить USB порты (разъёмы) - установить режим "только для чтения". Установить программное обеспечение для централизованного управления портами ввода-вывода (типа DeviceLock), управляющее доступом к USB устройствам. Для того, чтобы можно было, например, разрешить использование USB аудио гарнитуры, клавиатуры и мышки, но запретить запись на флэшки или использование смартфона, как модема (это ещё один канал утечек).

Photo by Brina Blum on Unsplash
Photo by Brina Blum on Unsplash
Неизвестно, правда или нет, но Эдвард Сноуден скопировал информацию на Micro SD карточку, подключив её к компьютеру именно через кард-ридер, встроенный в USB клавиатуру. По крайней мере именно так показано в художественном фильме.
Эдвард Сноуден вставляет Micro SD в кард-ридер, встроенный в клавиатуру. (Фото из фрагмента фильма "Сноуден", YouTube)
Эдвард Сноуден вставляет Micro SD в кард-ридер, встроенный в клавиатуру. (Фото из фрагмента фильма "Сноуден", YouTube)

3. Запретить физический доступ внутрь компьютера

В случае, если доступ к локальным дискам необходим, но нужно защититься от варианта "человек слил данные, на внутренний жёсткий диск и унёс его", необходимо закрыть возможность проникновения внутрь системного блока. Несанкционированного проникновения. Или хотя бы поставить дополнительный барьер для этого.

Это нужно также для невозможности сбросить пароль на BIOS и включить режим загрузки с внешних носителей. Потому что, загрузившись с флэшки можно получить доступ к внутренним дискам и скопировать с них информацию.

Если установлен пароль на BIOS Setup, и отключены возможности загрузки с внешних носителей, то это является барьером. Однако если можно вскрыть компьютер, и разными способами сбросить настройки BIOS, снять пароль - этот барьер уже не будет действовать.

Как предотвратить доступ внутрь?

Это давно известно. Искренне не понимаю, почему это не применяют! Нужно установить замок на крышку компьютера. Типа Kengsington Lock. Или другой, подешевле. Ключи должны быть только у специалистов техподдержки, обслуживающих компьютеры.

Если используется десктоп, у которого нет специального гнезда под подобный замок - есть другие способы закрыть крышку. Если крышка не предусматривает такой возможности в принципе - не используйте такие компьютеры.
Замок установлен в специальное гнездо, теперь крышку штатным образом открыть нельзя (фото из личного архива).
Замок установлен в специальное гнездо, теперь крышку штатным образом открыть нельзя (фото из личного архива).

4. Предотвратить несанкционированное перемещение компьютеров

Здесь скорее речь идёт о ноутбуках. Понятно, что можно скопировать всё на ноутбук и просто унести его. Но ведь унести его может физически кто угодно. Вот честный сотрудник, который просто оставил свой ноут на столе без присмотра. Мало ли кто может зайти и забрать его с собой, зная, что внутри у него ценная информация. Которая зачастую превосходит стоимость самого аппарата.

Чтобы этого не произошло - стоит пристегнуть компьютер таким же замком, но уже с тросом, который зацепить за что-то более крупное. Например, за стол, за батарею или что-то тяжёлое.

Главное - не потерять ключ или не забыть шифр, если замок кодовый.
Ноутбук пристёгнут замком с тросом. (фото - Яндекс картинки)
Ноутбук пристёгнут замком с тросом. (фото - Яндекс картинки)

Десктопные компьютеры тоже бывают очень маленького размера. И унести их в сумке тоже довольно реально.

Десктоп пристёгнут замком с тросом. (фото из личного архива)
Десктоп пристёгнут замком с тросом. (фото из личного архива)
Конечно, такой замочек можно взломать. Откусить трос и т. п... Но! Всё-таки это уже будет считаться взломом. Для этого нужны инструменты, подготовка, усилия. И наказание за подобные действия может быть уже уголовным. Не всякий на это пойдёт.

5. Запретить отправку больших объёмов информации по электронной почте

Непонятно почему, во многих организациях нет ограничения на размер исходящих во вне электронных писем. Нет и контроля того, кто и что отправляет. При этом достаточно большой процент утечек связан с простой возможностью пересылки файлов по 40 мегабайт и более. А это очень значительный объём данных.

Необходимо выдавать возможность использования внешней почты только по подтверждённому запросу и настроить систему фильтрации и мониторинга почтового обмена. Далеко не всем в организации вообще нужна внешняя электронная почта. Личную переписку можно вести на личном компьютере с личного адреса.

6. Зашифровать локальный диск ноутбука

Этот этап защиты от утечек нужен скорее для случая потери портативного устройства или его кражи. Чтобы даже в случае извлечённого жёсткого диска, с него нельзя было считать информацию.

Все помнят громкие публикации об утечках приватных или секретных данных с потерянного секретным агентом ноутбука. Такие случаи повторяются и сегодня. И это звучит ужасно глупо. Ведь можно было просто зашифровать диск.

Вообще - шифрование информации - это один из лучших способов защиты от её утечки. Главное - самому не забыть пароль :)

7. Запретить доступ к облачным хранилищам

Нужно закрыть возможность выгружать что-либо на облачные диски (типа Яндекс.Диск или Google Drive) или почтовые сайты. Умные современные фильтры умеют разрешать заполнение форм, приложение небольших файлов и запрещать остальное.

Доступ на чтение из облачных хранилищ можно оставить. Без этого в наше время сложно.

***

Статья по теме:

Всё вышеописанное - личное мнение автора, основанное на его опыте. Если у вас есть соображения или дополнения по теме статьи или вопросы - можете высказаться в комментариях. В уважительной манере по отношению к автору и друг другу :)

***

Искренне ваш,
© Иван С.

Поставьте лайк, если статья вам понравилась, и поделитесь с друзьями. Подпишитесь на канал, чтобы не пропускать новые публикации.

10