100 Мифы и заблуждения информационной безопасности Лукацкий
Вид материала | Документы |
СодержаниеМиф №14 "Сообщениям электронной почты можно доверять конфиденциальную информацию"25.12.2008 14:10 |
- Аннотация, 418.67kb.
- Е. А. Свирский Рассматриваются вопросы работы курсов повышения квалификации по информационной, 67.93kb.
- Система менеджмента информационной безопасности, 205.89kb.
- Теоретические основы информационной безопасности автоматизированных систем, 26.65kb.
- Содержание курса. Урок, 902.96kb.
- Обеспечение информационной безопасности организации как метод антикризисного управления, 54.18kb.
- Мифы Древней Греции Мифы Древней Индии Мифы древних славян Мифы североамериканских, 33.93kb.
- «Комплексные системы информационной безопасности», 260.23kb.
- Вопросы по информационной безопасности, 268.68kb.
- Рекомендации по обеспечению информационной безопасности Заключение, 358.69kb.
Миф №14 "Сообщениям электронной почты можно доверять конфиденциальную информацию"25.12.2008 14:10
Доверие и конфиденциальность - вещи трудносовместимые. И уж тем более в электронной почте, которая изначально разрабатывалась не для обеспечения конфиденциальности передаваемых почтовых сообщений. Да и время с момента ее разработки изменилось – опасностей, как и сценариев применения e-mail стало гораздо больше. Сейчас сообщение e-mail можно сравнить с обычной почтовой открыткой, которая не защищена от сотрудников почтовых отделений, участвующих в приеме и пересылке корреспонденции.
Почтовые протоколы SMTP, POP3 или IMAP не предполагают встроенных механизмов шифрования, а значит доступ к сообщениям электронной почты ничем не ограничен. Внутри корпоративной или домашней сети практически любой желающий может перехватить их и проникнуть в тайну вашей переписки. Зачастую это может делать ваш работодатель в лице службы информационной безопасности для обеспечения режима коммерческой тайны. В случае с отправкой почты с домашнего компьютера или ПК в Интернет-кафе опасность несанкционированного прочтения также существует, но со стороны Интернет-провайдера или владельца Интернет-кафе. Разумеется, ему нет дела до вашей переписки, но факт остается фактом - все сообщения e-mail передаются в открытом виде и абсолютно незащищены. И, наконец, нельзя забывать про систему технических средств для обеспечения функций оперативно-розыскных мероприятий (СОРМ), в рамках которой правоохранительные органы могут перехватывать огромные объемы информации и исследовать их в поиске следов террористов и т.п. Кстати, удаление сообщения после его отправки также не обеспечит вашу конфиденциальность - копии этих сообщений могут остаться во временных файлах на вашем компьютере, в архиве e-mail или в резервной копии базы почтовых сообщений. Да и ваш оппонент может сохранить письмо с конфиденциальной информацией от вас.
Схожая проблема возникает и при использовании обычного стационарного телефона, которым мы пользуемся дома и на работе по несколько раз на дню. Но, разговаривая по телефону и доверяя ему свои тайны, мы также не задумываемся, что телефонная связь изначально не гарантирует вам защиту ваших переговоров. Но многие ли из вас обеспокоены этим?
Разумеется, я не утверждаю, что системный администратор, служба ИБ или оператор связи начнут ни с того ни с сего читать вашу переписку, но потенциально такая возможность существует. Более того, уже известно немало случаев, когда уволенный и обиженный администратор, используя свои знания и квалификацию, осуществлял против своего бывшего работодателя не всегда правомерные действия. В условиях кризиса эти риски только возрастают.
Однако, несмотря на это, многие до сих пор доверяют электронной почте. Результаты исследований компании SurfControl убедительно доказывают это – 90% пользователей используют e-mail для отправления и получения конфиденциальной информации. Интересен и тот факт, что 15% пользователей признают, что отправляли сведения «не для общего пользования» не тем адресатам.
Решением проблемы конфиденциальности электронной почты является ее абонентское шифрование с помощью соответствующих программ, которые можно приобрести даже в российских Интернет-магазинах. Одной из наиболее известных является PGP и ее разновидности, но есть и другие решения, например, CryptoMailer, Ciphire Mail. Однако у таких систем есть одно ограничение – они ориентированы на частное использование. В корпоративной сети их приходится внедрять на каждом компьютере, что может обойтись достаточно недешево. Решением проблемы может стать комплексное устройство защиты e-mail, которое обеспечивает сразу несколько функций обеспечения безопасности электронной почты и среди них – шифрование всей исходящей почты (по заданным критериям). Это позволит заменить распределенное решение на централизованное, что облегчит внедрение, эксплуатацию и поддержку. Примером такого шлюза является IronPort E-mail Security Appliance или BorderWare Security Platform.
И, конечно, нельзя сбрасывать со счетов подсистемы шифрования, встроенные в почтовые клиенты (Microsoft Outlook или Lotus Notes). При использовании Web-почты можно стать клиентом специальных сервисов защищенной почты, например, s-mail.com, co-mail.com, Good или BlackBerry. Для контроля случайной утечки конфиденциальной информации также существуют специальные инструменты - системы типа IronPort E-mail Security Appliance, Infowatch, Дозор-Джет и т.д.
Отсутствие такого рода решений может привести и еще к одной проблеме – случайной утечке или незапланированной передаче информации. Например, один из известнейших случаев случайной утечки произошел в начале 2000-х годов в Польше, во время подготовки визита в эту страну принца Чарльза. Письмо, направленное в адрес сотрудника отдела протокола случайно было отправлено по другому адресу, в результате чего общественности стали известны детали предстоящего визита – используемые для передвижения автомобили, места ночевок и т.п. Другой пример в 2003-м году произошел в представительстве одной американской компании, работающей в России. Глава одного из отделов случайно (функция автоматического выбора адреса e-mail в MS Outlook иногда мешает, а не помогает) отправил зарплатную ведомость своих сотрудников по всем своим партнерам. Примером незапланированной передачи конфиденциальной информации может служить червь Klez, который в 2002 году очень сильно насолил многим компаниям. Этот вирус червь сканировал диски зараженного компьютера и, в зависимости от ряда условий, прикреплял к рассылаемым письмам файлы, в которых могла содержаться конфиденциальная информация.