Клиенты
  • Росбанк
  

Резервные копии - спасение или угроза?

Марат Давлетханов, CIO 22.01.2007

В современном мире практически вся информация хранится и обрабатывается на компьютерах. И коммерческие данные не являются исключением из этого правила. Персональные компьютеры и сервера давно уже стали неотъемлемым атрибутом каждого офиса. С одной стороны это, конечно же, очень хорошо: с информацией, находящейся в электронном виде, гораздо легче работать. Но с другой стороны, компьютерным данным постоянно угрожает множество самых разнообразных опасностей. Так, например, информация может быть уничтожена вирусами или хакерами. Или ее можно потерять из-за внезапно вышедшего их строя жесткого диска. Или нужные данные случайно может удалить пользователь, причем так, что восстановить ее не удастся.
Естественно, от подавляющего большинства угроз сегодня существует более-менее надежная защита. Однако нужно понимать, что безопасность никогда не бывает абсолютной. Поэтому всегда существует хотя бы малая вероятность уничтожения коммерческой информации. Ну а к каким последствиям это может привести объяснять, наверное, никому не нужно. Именно поэтому в состав комплексной системы информационной безопасности компании обязательно должна входить подсистема, осуществляющая резервное копирование всех важных данных. Это непреложный факт, который нельзя поставить под сомнение.

Однако на самом деле дела с резервными копиями обстоят далеко не так просто. Оказывается, довольно часто именно они становятся самым слабым звеном в безопасности информационной системы, с помощью которого злоумышленники осуществляют кражу данных. И действительно, резервные копии чаще всего записываются и хранятся на магнитных лентах или DVD-дисках. А украсть или хотя бы скопировать последние гораздо легче, нежели обойти готовую к обороне корпоративную систему информационной безопасности. Этому способствует тот факт, что резервные копии рекомендуется хранить не в серверной комнате, а в другом помещении. А еще лучше - в другом здании, например, в банковских ячейках. В западных странах существуют даже специальные депозитарии, предназначенные для хранения магнитных лент и DVD-дисков разных компаний.

Это требование легко объяснить. Если ему не следовать, то пожар в серверной комнате или какой-то природный или техногенный катаклизм может уничтожить не только саму информацию, но и все ее резервные копии. Естественно, для компании это окажется очень серьезным ударом. Более того, подобное происшествие вообще может поставить под угрозу сам факт ее существования. Но опять же на него необходимо взглянуть и с другой стороны. Во время транспортировки или хранения резервных копий существенно расширяется круг лиц, которые имеют к ним доступ. И, соответственно с этим, увеличивается и риск того, что злоумышленник сможет украсть или скопировать DVD-диски или магнитные ленты.

А это правда?

Практика показывает, что подавляющее большинство руководителей компаний, которым впервые рассказывают об опасностях, связанных с резервными копиями, не верят этому. Слишком уж надуманными и неправдоподобными кажутся им доводы специалистов. Между тем все сказанное выше - чистая правда. И для того чтобы доказать это давайте хотя бы кратко рассмотрим наиболее громкие мировые скандалы, связанные с компрометацией коммерческой информации из-за резервных копий.

"Центральный Банк РФ". 30 марта в новостях появилась информация, что на черном рынке свободно продают базу данных всех банковских проводок рассчетно-кассовых центров ЦБ РФ с апреля 2003 по сентябрь 2004 года. Какой ущерб нанесла пострадавшим организациям компрометация этой информации точно не известно. В ЦБ РФ были предприняты дополнительные меры по защите данных, которые, однако, не сработали: немного позже появилась новая версия базы с расширенным периодом. Многие эксперты в области информационной безопасности считают, что эти данные были украдены с магнитных лент, на которых хранилась резервная копия данных.

Ameritrade. 19 апреля один из крупнейших онлайновых биржевых брокеров признал факт утери четырех магнитных лент, которые были отправлены через всемирно известную (ее название не называлось) курьерскую службу. Правда, три из них позже были обнаружены, но за прошедшее время с них можно было снять сколько угодно копий. В результате этого инцидента оказались скомпрометированы персональные данные сотрудников и клиентов компании: имена, номера социального страхования, транзакции по счетам.

Time Warner. 2 мая всемирно известная медиа-корпорация объявила о том, что компания Iron Mountain, которая занимается предоставлением услуг по хранению носителей информации, потеряла 40 магнитных лент, на которых была сохранена резервная копия всей информации о более чем 600 тысячах сотрудников.

UBS. 30 мая в токийском отделении крупнейшего швейцарского банка был утерян жесткий диск с копией базы данных, сделанной перед апгрейдом системы. На нем находилась полная информация о 15,5 тысячах клиентов: имена, адреса, телефоны, номера счетов, проведенные транзакции, остатки и т.д. В результате имиджу банка был нанесен серьезный ущерб.

Citigroup. 6 июня представители крупнейшего в мире банка заявили, что курьерской службой UPS в ходе транспортировки из офиса банка в Нью-Джерси в кредитное бюро, расположенное в Техасе, были утеряны несколько магнитных лент. Скомпрометированными оказались данные о 3,9 миллионах(!) клиентов: имена, номера социального страхования, проведенные транзакции и т.п. Банку пришлось принести извинения всем пострадавшим, а также обеспечить во избежание неправомерного использования этих данных бесплатный мониторинг их счетов.

«Федеральная Налоговая Служба РФ». В конце октября на черном рынке появилась база данных о доходах москвичей за 2004 год. Официального подтверждения обнаружения источника утечки не было, известно только о задержании распространителей конфиденциальных данных. Между тем многие независимые эксперты опять же уверены в том, что информация была «снята» с резервной копии.

ABN Amro Bank. 18 ноября стало известно, что курьерской службой DHL утеряна магнитная лента, принадлежащая американскому отделению по ипотечному кредитованию нидерландского банка. Правда, через месяц она была найдена. Но за это время полная информация о двух миллионах клиентах легко могла попасть в руки злоумышленников. Естественно, представители банка заявили, что доказательств несанкционированного доступа к данным нет. Но нет и доказательств обратного. Поэтому всем клиентам были принесены извинения и обеспечен бесплатный мониторинг их счетов.

И это только самые известные случаи компрометации информации, связанные с резервными копиями. На самом же деле их гораздо больше. Вообще, любые преступления в IT-сфере обладают большой латентностью. И в нашем случае это проявляется наиболее сильно. Во-первых, далеко не каждая компания сообщает своим клиентами или правоохранительным органам о возможной краже информации. Очень многие надеются на "авось" и не хотят портить собственный имидж. Во-вторых, компании зачастую сами не знают, что стали жертвой злоумышленников. Во время транспортировки и хранения они либо вообще не контролируют доступ к магнитным лентам или DVD-дискам, либо существенно ослабляют этот контроль. Например, известны случаи, когда резервные копии отдавались на хранение в помещение IT-службы, откуда их могли практически все желающие. Таким образом, компании просто-напросто не знают, что кто-то скопировал носители,

Нужна защита!

Итак, мы с вами, уважаемые читатели, пришли к неоднозначным выводам. С одной стороны создание резервных копий необходимо. Их отсутствие может оказаться катастрофическим в случае утери важных коммерческих данных. С другой стороны резервная копия - явная угроза для информационной безопасности компании, возможный путь для утечки коммерческих тайн. Что же делать? Можно ли "убить сразу двух зайцев"? Оказывается, да.

Когда речь заходит о безопасности резервных копий, то подавляющее большинство руководителей компаний сразу же предлагают решить проблему путем ограничения физического доступа к носителям. Но, справедливости ради стоит отметить, что это далеко не самый лучший вариант. Давайте рассмотрим небольшой пример. Допустим, у нас есть резервная копия содержимого жесткого диска корпоративного сервера. Это значит, что в ней может оказаться самая разнообразная информация: база с бухгалтерской отчетностью, маркетинговые документы, данные по сотрудникам и многое, многое другое. Доступ к ней разграничен. То есть одни сотрудники могут просматриваться бухгалтерские документы, но им недоступны планы развития компании, другие наоборот и т.д. В резервной же копии вся эта информация собрана в одном. То есть доступ к ней можно давать только тому, кто имеет право читать все данные. А это - буквально несколько человек из руководства компании. Именно поэтому ограничение физического доступа к физическим носителям (магнитным лентами и DVD-дискам) чаще всего неэффективно.

На порядок более надежной и удобной защитой информации в резервных копиях является криптография. Фактически, только шифрование может обеспечить реальную безопасность коммерческих секретов. При его использовании можно не бояться, что злоумышленник получит физический доступ к носителям информации. Пусть даже он сможет скопировать с них данные. Все равно это ему не поможет: декодировать их без секретного ключа практически невозможно. Таким образом, резервные копии без всяких опасений можно пересылать по почте или с помощью курьерских служб, передавать на хранение в другие организации (банки, специализированные депозитарии и т.п.).

Впрочем, далеко не всегда криптографическая защита является действительно надежной. Для этого необходимо, чтобы система, ее реализующая, отвечала целому ряду требований. В противном случае мы будем иметь дело лишь с видимостью безопасности, своеобразной фикцией, которая может стать причиной компрометации важной коммерческой информации.

Самым главным требованием к системам шифрования информации в резервных копиях является реализованные в них криптографические технологии. Дело в том, что не все алгоритмы шифрования одинаково надежны. Именно поэтому лучше выбирать те из них, которые хорошо изучены и протестированы множеством специалистов, подтвердивших их эффективность. Этим условия в первую очередь удовлетворяют технологии, принятые в качестве национальных стандартов разных стран или "де-факто" ставшие неофициальными мировыми стандартами. Некоторые компании используют в своих продуктах собственные криптографические разработки. В этом случае всегда остается риск, того, что алгоритм недостаточно изучен. И в будущем в нем могут быть выявлены уязвимости, которые "откроют" злоумышленникам дорогу к защищенной информации. Еще хуже, если компания предлагает "засекреченные" технологии, подробности которых никому не раскрывает. В мировой практике известно немало случаев, когда под различными громкими названиями клиентам предлагали примитивнейшие преобразования информации, являющиеся самой настоящей фикцией.

Второе важно требование - хранение ключа шифрования не на самом носителе, а отдельно от резервной копии. Особенно хорошо, если он будет записан на каком-нибудь устройстве с защищенной памятью (смарт-карте или USB-токене). Это позволяет практически полностью исключить возможность его компрометации. В тоже время в некоторых системах ключи шифрования хранятся на самих носителях вместе с резервными копиями. Но, естественно, записаны они не в чистом, а в закодированном виде. Казалось бы, никаких проблем нет. Однако в большинстве случаев шифрование ключей шифрования осуществляется на базе обычного пароля. Ну а поскольку надежность всей системы равна надежности слабейшей ее части, то получается, что реально информация защищена с помощью обычной парольной защиты, уязвимой перед полным перебором или подбором по словарю.

Следующая очень сильно влияющая на надежность любой криптографической системы характеристика - качество генерации ключей шифрования. Суть проблемы заключается в следующем. В большинстве продуктов ключ шифрования создается с помощью генератора случайных чисел. Ведь компьютер не может сам выбрать случайное число, он может только совершить согласно специальному алгоритму математические операции над каким-то начальным числом, получив, таким образом, некоторое значение, которое с той или иной степенью приближения может считаться случайным. И если качество описанного генератора недостаточно, то злоумышленники могут существенно облегчить себе работу по подбору ключа шифрования, исключив из списка все невозможные варианты.

И это отнюдь не мифическая угроза. Не раз и не два возникала ситуация, когда зашифрованные с помощью надежных криптографических алгоритмов данные, оказывались декодированы из-за некачественных ключей. Так, например, в одном случае в генераторе случайных чисел в качестве входной информации использовалось текущее время. Злоумышленники смогли проследить некоторые тенденции, и знание примерного времени шифрования информации позволяло им настолько снизить список возможных ключей, что их перебор можно было осуществить за вполне приемлемый срок.

Именно поэтому сегодня всем больше и больше разработчиков криптографических продуктов прибегают для генерации ключей шифрования к простому, но очень надежному варианту. Они заменяют программные генераторы... пользователем. Да, да, уважаемые читатели, вы не ослышались. В процессе создания ключа человеку, сидящему перед компьютером, предлагается понажимать случайным образом на знаковые кнопки клавиатуры или хаотично подвигать мышкой. Полученные в результате этого данные можно считать высококачественными случайными значениями. Ведь предугадать действия человека невозможно.

Четвертой характеристикой, на которую стоит обратить внимание - совместимость системы защиты с различными продуктами, осуществляющими резервное копирование, и возможность обеспечивать безопасность данных как на магнитных лентах, так и на дисках CD и DVD. Впрочем, это не обязательно. Системы резервного копирования заменяются довольно редко. Однако при выборе защиты все-таки лучше учесть такой вариант. В противном случае это может обернуться дополнительными затратами.

Идем далее. Не последнюю роль при выборе системы защиты резервных копий должен играть ее разработчик. Дело в том, что когда речь заходит о безопасности коммерческой информации, доверять лучше хорошо известным компаниям с отличной репутацией и проверенными временем продуктами. В противном случае всегда можно "наткнуться" на недобросовестную компанию, в разработках которой присутствуют специально оставленные "дыры". На первый взгляд это кажется маловероятным, но в мировой практике было несколько случаев, когда сотрудники компаний специально создавали лазейки в защите, которыми могли воспользоваться знающие о них злоумышленники. Кроме того, нельзя забывать, что при создании любой сложной системы неизбежно появление некоторых ошибок. Так вот, компания-разработчик должна обеспечивать техническую поддержку своего продукта, а также своевременное устранение всех найденных недочетов. Да и вообще, ситуация в области информационной безопасности изменяется очень быстро. Поэтому предпочтение следует отдавать тем компаниям, которые постоянно занимаются развитием своих криптографических продуктов.

Немного практики

В этом разделе по всем "законам жанра" должно быть сравнение нескольких продуктов друг с другом, с целью выяснения всех их плюсов и минусов. Однако при рассмотрении систем защиты резервных копий мы столкнулись с интересной ситуацией. Дело в том, что на российском рынке, фактически, представлен только один такой продукт - программно-аппаратный комплекс Zbackup, разработанный специалистами компании SecurIT. Помимо этого компании могут приобрести разве что дополнительные модули, которые выпускают разработчики ПО для резервного копирования. В частности, такие модули существуют для ArcServe, VERITAS Backup Exec и некоторых других продуктов. Кроме этого, существуют еще и чисто аппаратные решения. Сразу отметим, что они по всем параметрам превосходят программные и программно-аппаратные комплексы, поскольку обеспечивают очень быстрое и надежное шифрование. Но у них есть два очень серьезных недостатка. Первый – это цена. Например, продукт DECRU стоит порядка ста тысяч долларов. Второй недостаток – проблемы с ввозом их в Россию. Поэтому чисто аппаратные решения подходят только для крупнейших предприятий. Для всех же остальных оптимальными являются программные и программно-аппартные комплексы защиты резервных копий.

Как мы уже знаем, первой характеристикой систем защиты резервных копий является используемый алгоритм шифрования. В модулях, поставляемых разработчиками ПО для резервного копирования, используются общепризнанные алгоритмы: 3DES, AES и т.п. В Zbackup используется другой подход. В нем нет встроенных алгоритмов шифрования, зато к нему можно подключать внешние криптопровайдеры. В их качестве могут использоваться как стандартные, входящие в состав операционной системы компоненты, так и системы других разработчиков. Подобный подход позволяет избежать риска, связанного с недостатками реализации криптографических технологий разработчиком системы. Кроме того, особого упоминания заслуживает возможность подключения сертифицированных ФСБ продуктов, в частности, аппаратной платы шифрования "Криптон" и ее программного эмулятора, в которых реализована криптотехнология ГОСТ 28147-89. Это позволяет использовать Zbackup в тех случаях, когда применение средств защиты регламентировано законом.

Следующий момент - генерация и хранение ключей шифрования. В модулях, поставляющихся разработчиками ПО для резервного копирования, используются различные варианты от самых ненадежных до наиболее защищенных. Все зависит от конкретной реализации. В Zbackup ключи шифрования генерируются с помощью пользователя. Хранятся они на смарт-картах или USB-токенах, которые входят в комплект поставки системы. Кстати, в этом продукте есть одна уникальная возможность, которая касается ключей шифрования. Речь идет о так называемом кворуме. При ее использовании ключ шифрования делится на несколько, допустим, на пять частей, которые следует раздать разным сотрудникам. А для того чтобы запустить криптографический процесс необходимо собрать заданное их число, например, три. Такой подход позволяет существенно уменьшить влияние человеческого фактора на безопасность системы, исключить риск компрометации ключа в случае утери его носителя, а также уменьшить риск нанесения вреда инсайдерами.

Теперь давайте поговорим о том, с каким аппаратным и программным обеспечением могут работать разные системы защиты резервных копий. С модулями, поставляемыми производителями ПО для резервного копирования, все ясно. Они могут работать только с системами одного производителя. И поддерживают только то «железо», которое поддерживает основной продукт. Причем в подавляющем большинстве случаев речь идет только о накопителях на магнитных лентах. В компаниях же, которые для хранения резервных копий используют CD или DVD-диски их использование невозможно. Zbackup - универсальный продукт, который позволяет зашифровывать информацию при работе с большинством систем резервного копирования при записи как на стримерах различных производителей, так и на разных "приводах".

Ну и напоследок пару слов о разработчиках систем защиты. Когда речь заходит о дополнительных модулях, то их, как мы уже выяснили, создают производители средств резервного копирования. Для них это – дополнительный, а не основной вид деятельности. Что же до компании SecurIT, то она изначально занималась разработкой систем защиты компьютерной информации и хорошо известна на российском рынке.

Подводим итоги

Ну а теперь пришла пора подвести итоги. Резервное копирование информации - это насущная необходимость. От нее ни в коем случае нельзя отказываться. Но при планировании системы обеспечения корпоративной информационной безопасности необходимо учитывать и опасности, которые несут архивы. Причем обезопасить себя от них очень просто. Нужно всего лишь осознать угрозу и ввести в эксплуатацию полноценную систему защиты от нее.


Новый функционал
Отмена

												
														
																				
							
							
							
							
в формате +7 (987) 654-32-10
обзор удалить