100 Мифы и заблуждения информационной безопасности Лукацкий

Вид материалаДокументы

Содержание


Миф №14 "Сообщениям электронной почты можно доверять конфиденциальную информацию"25.12.2008 14:10
Подобный материал:
1   ...   9   10   11   12   13   14   15   16   ...   69

Миф №14 "Сообщениям электронной почты можно доверять конфиденциальную информацию"25.12.2008 14:10


Доверие и конфиденциальность - вещи трудносовместимые. И уж тем более в электронной почте, которая изначально разрабатывалась не для обеспечения конфиденциальности передаваемых почтовых сообщений. Да и время с момента ее разработки изменилось – опасностей, как и сценариев применения e-mail стало гораздо больше. Сейчас сообщение e-mail можно сравнить с обычной почтовой открыткой, которая не защищена от сотрудников почтовых отделений, участвующих в приеме и пересылке корреспонденции.

Почтовые протоколы SMTP, POP3 или IMAP не предполагают встроенных механизмов шифрования, а значит доступ к сообщениям электронной почты ничем не ограничен. Внутри корпоративной или домашней сети практически любой желающий может перехватить их и проникнуть в тайну вашей переписки. Зачастую это может делать ваш работодатель в лице службы информационной безопасности для обеспечения режима коммерческой тайны. В случае с отправкой почты с домашнего компьютера или ПК в Интернет-кафе опасность несанкционированного прочтения также существует, но со стороны Интернет-провайдера или владельца Интернет-кафе. Разумеется, ему нет дела до вашей переписки, но факт остается фактом - все сообщения e-mail передаются в открытом виде и абсолютно незащищены. И, наконец, нельзя забывать про систему технических средств для обеспечения функций оперативно-розыскных мероприятий (СОРМ), в рамках которой правоохранительные органы могут перехватывать огромные объемы информации и исследовать их в поиске следов террористов и т.п. Кстати, удаление сообщения после его отправки также не обеспечит вашу конфиденциальность - копии этих сообщений могут остаться во временных файлах на вашем компьютере, в архиве e-mail или в резервной копии базы почтовых сообщений. Да и ваш оппонент может сохранить письмо с конфиденциальной информацией от вас.

Схожая проблема возникает и при использовании обычного стационарного телефона, которым мы пользуемся дома и на работе по несколько раз на дню. Но, разговаривая по телефону и доверяя ему свои тайны, мы также не задумываемся, что телефонная связь изначально не гарантирует вам защиту ваших переговоров. Но многие ли из вас обеспокоены этим?

Разумеется, я не утверждаю, что системный администратор, служба ИБ или оператор связи начнут ни с того ни с сего читать вашу переписку, но потенциально такая возможность существует. Более того, уже известно немало случаев, когда уволенный и обиженный администратор, используя свои знания и квалификацию, осуществлял против своего бывшего работодателя не всегда правомерные действия. В условиях кризиса эти риски только возрастают.

Однако, несмотря на это, многие до сих пор доверяют электронной почте. Результаты исследований компании SurfControl убедительно доказывают это – 90% пользователей используют e-mail для отправления и получения конфиденциальной информации. Интересен и тот факт, что 15% пользователей признают, что отправляли сведения «не для общего пользования» не тем адресатам.

Решением проблемы конфиденциальности электронной почты является ее абонентское шифрование с помощью соответствующих программ, которые можно приобрести даже в российских Интернет-магазинах. Одной из наиболее известных является PGP и ее разновидности, но есть и другие решения, например, CryptoMailer, Ciphire Mail. Однако у таких систем есть одно ограничение – они ориентированы на частное использование. В корпоративной сети их приходится внедрять на каждом компьютере, что может обойтись достаточно недешево. Решением проблемы может стать комплексное устройство защиты e-mail, которое обеспечивает сразу несколько функций обеспечения безопасности электронной почты и среди них – шифрование всей исходящей почты (по заданным критериям). Это позволит заменить распределенное решение на централизованное, что облегчит внедрение, эксплуатацию и поддержку. Примером такого шлюза является IronPort E-mail Security Appliance или BorderWare Security Platform.

И, конечно, нельзя сбрасывать со счетов подсистемы шифрования, встроенные в почтовые клиенты (Microsoft Outlook или Lotus Notes). При использовании Web-почты можно стать клиентом специальных сервисов защищенной почты, например, s-mail.com, co-mail.com, Good или BlackBerry. Для контроля случайной утечки конфиденциальной информации также существуют специальные инструменты - системы типа IronPort E-mail Security Appliance, Infowatch, Дозор-Джет и т.д.

Отсутствие такого рода решений может привести и еще к одной проблеме – случайной утечке или незапланированной передаче информации. Например, один из известнейших случаев случайной утечки произошел в начале 2000-х годов в Польше, во время подготовки визита в эту страну принца Чарльза. Письмо, направленное в адрес сотрудника отдела протокола случайно было отправлено по другому адресу, в результате чего общественности стали известны детали предстоящего визита – используемые для передвижения автомобили, места ночевок и т.п. Другой пример в 2003-м году произошел в представительстве одной американской компании, работающей в России. Глава одного из отделов случайно (функция автоматического выбора адреса e-mail в MS Outlook иногда мешает, а не помогает) отправил зарплатную ведомость своих сотрудников по всем своим партнерам. Примером незапланированной передачи конфиденциальной информации может служить червь Klez, который в 2002 году очень сильно насолил многим компаниям. Этот вирус червь сканировал диски зараженного компьютера и, в зависимости от ряда условий, прикреплял к рассылаемым письмам файлы, в которых могла содержаться конфиденциальная информация.