Top menu

Утечка конфиденциальных данных Хитроу через USB – вечная классика

Совсем недавно на улице Лондона, буквально в 10 км от аэропорта Хитроу, была найдена USB-флешка с картами, видео и документами службы безопасности аэропорта, включая подробную информацию о мерах, используемых для защиты королевской семьи. Как и следовало ожидать, USB-накопитель был не зашифрованным, все 174 файла на нем находились в открытом виде и спокойно читались.

Этот случай лишь очередное напоминание о том, что самый опасный канал утечки конфиденциальных данных это по-прежнему старый добрый классический USB-порт (для краткости я к этому каналу также отношу и различные карты памяти, которые не несут на себе USB-интерфейса, но по сути это все одно и то же – внешние портативные носители информации).

Сейчас производители средств предотвращения утечек информации увлечены «гонкой за прослушкой» - добавляя в свой арсенал пассивного перехвата (без возможности запрета действия по передачи информации) новые мессенджеры, облачные хранилища данных и т.п. сетевые приложения и ресурсы. Многие российские производители ДЛП («для любителей подслушивать») вообще пропагандируют исключительно сбор доказательной базы через снятие скриншотов и запись клавиатурного ввода, даже не предполагая возможность противостоять потенциальным утечкам данным. Другой вариант – пропаганда возможностей пассивного перехвата для анализа поведения пользователей, UBA. Суть и результат те же – анализируем действия пользователей, когда утечка уже состоялась.

На примере утечки из Хитроу предлагаю убедиться, насколько «эффективными» могут быть такие ДЛП и вообще сам подход «наблюдаем, не вмешиваемся, потом со всем разберемся». Как минимум - нанесен серьезный имиджевый ущерб. Наверняка за этим инцидентом последуют существенные финансовые затраты на его расследование, т.к. скандал косвенно задел интересы безопасности королевской семьи и крупных политиков. Также скорее всего придется что-то менять в организации физической безопасности аэропорта, т.к. с флешкой утекли карты расположения камер наблюдения, тоннелей и т.п. – а это тоже очень немалые деньги.

Мне достоверно не известно, какие технические средства используются в аэропорту Хитроу для контроля перемещения данных и используются ли таковые вообще, но могу сказать, что задача предотвращения записи данных ограниченного доступа на внешние носители информации легко решается современными средствами – такими, как DeviceLock DLP. Причем решается в полном объёме (с анализом содержимого в реальном времени в момент записи) уже лет десять минимум. Более того, если предположить, что сотрудник (если это он потерял флешку) аэропорта имел право копировать эти конфиденциальные файлы на внешний носитель, то DeviceLock DLP может обеспечить принудительное использование только зашифрованных носителей для записи таких данных. Анализируя содержимое файлов в реальном времени (в момент, когда данные еще не попали на внешний носитель) и обнаруживая, что эти файлы содержат конфиденциальную информацию (согласно заданным политикам), DeviceLock DLP может потребовать использовать только доверенный зашифрованный носитель для записи файлов. Таким образом, даже в случае утери такого зашифрованного носителя, риск утечки данных ограниченного доступа будет сведен практически к нулю. Замечу, кстати, что в таком подходе остается место и для расследования инцидента, и для анализа деятельности пользователей – ведь протоколирование заблокированной попытки передачи данных никто не отменял.

Автор: Ашот Оганесян