Доктрина, разработанная для защиты военных секретов, может оказаться бесценной для вашей организации.
Операционная безопасность (Operations Security, OpSec) – процесс оценки и защиты организациями общедоступных данных о себе, которые при должном их анализе грамотным противником и объединении с другими данными позволяет получить общую картину, хранимую организацией в секрете. Дисциплина, имеющая военное происхождение, в цифровой век приобретает жизненно важное значение и для правительственных и частных организаций. Любому директору по безопасности следует задуматься о том, какие меры необходимо принять для совершенствования OpSec.Термин «операционная безопасность» впервые появился в армии США во время войны во Вьетнаме в результате действий группы Purple Dragon. Там заметили, что противники США словно читают стратегию и тактику американских войск. При этом известно было, что Северный Вьетнам и Вьетконг не обладают силами и средствами, которые позволяли бы расшифровывать передаваемые сообщения. Не имелось у них и разведки для сбора информации изнутри. Таким образом, армия США сама непреднамеренно передавала врагу жизненно важные сведения. В Purple Dragon первыми предложили определение OpSec: «Умение держать информацию о своих силах и слабостях в тайне от враждебных сил».Со временем эта концепция, распространившаяся из армии и на другие американские министерства и частные компании, была проработана более подробно. У минэнерго, отвечающего за ядерный арсенал государства, имелось собственное определение OpSec: «Операционная безопасность включает процесс определения неклассифицированной или управляемой критически важной информации, требующей защиты в течение какого-то ограниченного или достаточно продолжительного времени… цель OpSec заключается в идентификации, управлении и защите важной неклассифицированной информации о целях, операциях или действиях, а также для организации противодействия стремлению врага мешать достижению этих целей, и выполнению операций или действий».Провалы OpSecПожалуй, один из лучших способов понять, что представляет собой OpSec на практике, заключается в изучении масштабных провалов OpSec – ситуаций, позволивших получить на основе общедоступной информации общую картину, которую субъект этой информации хотел бы держать в секрете.Начнем с событий, произошедших не так давно. В марте 2017 года, когда Джеймс Коми еще исполнял обязанности директора ФБР, автор публикаций в Gizmodo Эшли Файнберг сумела отследить его учетные записи в Instagram и Twitter, используя всего несколько бит общедоступных данных. Эта история стала классическим примером поиска ключей среди пользователей в социальных сетях. Файнберг знала, что сын Коми Брайен входил в спортивную команду колледжа Кеньон, и обнаружила видео с его участием в Instagram спортивного факультета университета. В одном из комментариев содержалась ссылка на личный Instagram Брайена. Воспользовавшись специально созданной для этого учетной записью, Файнберг отправила запрос на подписку, зная, что в ответ Instagram предоставляет учетные записи, связанные с тем аккаунтом, на который вы хотите подписаться. В данном случае речь шла о заблокированной учетной записи 'reinholdniebuhr', названной в честь теолога, которому была посвящена дипломная работа Джеймса Коми. Файнберг предположила, что это и есть аккаунт Коми. В Twitter оказалось всего несколько учетных записей с различными вариациями имени 'niebuhr', в том числе и запись @projectexile7, названная, судя по всему, в честь программы, направленной на снижение уровня насилия с применением оружия, в реализации которой в 1990-е годы Коми принимал участие. У @projectexile7 имелся всего один подписчик – блогер Бенджамин Уиттс, личный друг Коми. В октябре стало ясно, что выбранный Файнберг путь оказался верным.Это прекрасный пример того, какие подсказки можно найти в социальных сетях – даже профессионалы в сфере безопасности не всегда понимают, какие следы оставляют за собой. В Facebook и других социальных сетях можно найти информацию, которая с военной точки зрения носит разрушительный характер. Например, несмотря на официальную позицию российских властей, в соответствии с которой повстанцы на востоке Украины действуют сами по себе, российские военные не раз размещали в Instagram фотографии с геотегами, подтверждающими их местонахождение по ту сторону границы. В похожей ситуации популярный фитнес-трекер Strava, загружающий данные в облако, разместил подробную карту маршрутов своих пользователей, проводивших беговые тренировки. А поскольку этот сервис пользуется особенной популярностью у американских солдат, изучение соответствующих карт позволило определить местоположение целого ряда секретных военных баз США.Провалы OpSec на корпоративном уровне не наносят ущерба национальной безопасности, но могут иметь катастрофические последствия для связанных с ними компаний. Профессионалы в сфере OpSec рассказывают об обнаруженных ими проблемах в блоге Digital Guardian DataInsider. Так, Шай Бредеволд пояснил, как возникают утечки корпоративной информации: «Чрезмерно усердный сотрудник характеризует свою должность таким образом, что это позволяет узнать о пройденной им переподготовке, которая в противном случае была бы скрыта от глаз широкой публики. В женском форуме жены рассказывают о том, какую нагрузку испытывают их мужья в связи с готовящимся в следующем месяце выпуском нового концептуального продукта». Еще одним потенциальным указателем направления могут стать пароли: в условиях, когда бреши в системе безопасности веб-сайтов носят повсеместный характер, многие сочетания имен и паролей пользователей оказываются в общем доступе, чем с удовольствием пользуются хакеры, сравнивающие эти идентификационные данные с данными сотрудников компаний и пытающиеся задействовать полученные пароли в своих интересах.Процедура OpSecАмериканские военные рекомендуют пятиэтапную процедуру, с помощью которой организации могут оценить свои данные и инфраструктуру и выработать план их защиты. В блоге SecurityTrails эта процедура описывается подробно, мы же хотим привести ее краткое резюме.1. Оцените критически важную для OpSec информацию. Для начала нужно определить, какие данные способны нанести вред вашей организации в случае их попадания в руки противника. Круг этих данных может варьироваться от клиентской информации и финансовых записей до интеллектуальной собственности.2. Определите типы угроз OpSec . Следующий вопрос, который нужно задать себе: кто является вашим противником? Их круг также может быть широк, начиная от преступных хакеров и заканчивая конкурентами в бизнесе. Учтите, что разных противников могут интересовать разные данные.3. Проанализируйте уязвимости OpSec . Этот этап должен занимать центральное место в обеспечении безопасности любой организации: проводите полный аудит системы безопасности для выявления слабых мест в вашей инфраструктуре.4. Оцените риски OpSec . На этом шаге определяются уровни угроз путем анализа влияния уязвимостей, выявленных на третьем этапе, на критически важные данные, полученные на первом этапе, с учетом круга противников, очерченного на втором этапе. Нужно понимать, какой ущерб может нанести использование внешних уязвимостей и насколько вероятна такая атака.5. Составьте план OpSec . Располагая всей этой информацией, разработайте план, который позволит блокировать имеющиеся уязвимости и сохранить свои данные в безопасности.Меры для укрепления операционной безопасностиВсе вышесказанное звучит несколько абстрактно. А какие конкретные меры можно принять для реализации собственного плана OpSec? HackerCombat рекомендует придерживаться следующих рекомендаций.— Внедряйте процедуры управления изменениями.— Ограничивайте доступ к сетевым устройствам по принципу того, что «нужно знать».— Предоставляйте сотрудникам минимально необходимые права доступа и придерживайтесь правила наименьших привилегий.— Автоматизируйте операции для устранения слабых мест, обусловленных человеческим фактором.— Планируйте ответные меры, которые необходимо принимать при возникновении инцидентов, и процедуры восстановления.В материалах SecurityTrails описываются области, на которые должно быть ориентировано планирование OpSec. Естественно, в первую очередь вам хотелось бы сосредоточиться на важных персональных идентификационных данных, к которым относятся имена, IP-адреса, языки, электронная почта и т.д. Но нельзя забывать и о взаимодействии с людьми – в частности, с вашими собственными коллегами, для которых менталитет OpSec должен стать их второй натурой. Необходимо обучить их ряду приемов, связанных с шифрованием данных и устройств, мониторингом передачи данных и ограничением доступа к некоторым видам данных. Они должны быть осведомлены обо всех ошибках, которые мы упоминали ранее, особенно о тех, которые обусловлены активностью в социальных сетях. Лозунг времен Второй мировой войны «длинный язык корабли топит» в полной мере применим и к вашей сегодняшней организации (распространяясь и на сообщения в Facebook).Кто осуществляет надзор за OpSec?И наконец последний вопрос, который, наверное, вас интересует: кто в компании должен отвечать за OpSec? Здесь ситуация постоянно меняется, и лучшим, пожалуй, кандидатом, станет тот, кто заинтересован в этом и обладает соответствующими возможностями, независимо от занимаемой должности и места в организационной иерархии.Некоммерческая организация Operations Security Professional's Association главной своей целью считает поддержку профессионалов в сфере OpSec. В публикациях из серии «Что работает в OpSec» обобщается накопленный в этой области передовой опыт, позволяющий оценить соответствующие карьерные перспективы и должностные обязанности. Некоторые направляют на OpSec всю свою энергию, тогда как для других это лишь одна из многих областей, к которым они проявляют интерес. Вам же нужно определить, как лучше претворить в жизнь концепцию OpSec в своей организации.
