Попробовать бесплатно
    25.01.2018

    Триада безопасности: история и современность

    Утечки информации исторически всегда доставляли проблемы, и они не были менее серьезными для связанных с ними людей. Казни, преследования, войны, утрата имущества и т.д. Со временем увеличился объем вовлеченности. Теперь, услышав об очередной утечке, не только царственные особы и приближенные к ним, а сами мы спешим с личным интересом узнать, не затронута ли наша конфиденциальная информация.

    Основой безопасности информации является триада свойств – Целостность, Доступность, Конфиденциальность. Такой же набор требований к секретам предъявлялся и на протяжении всей истории.

    Целостность

    Современные технологии позволяют контролировать целостность информации с помощью хеширования. Для любого набора информации хеширование выдаст уникальный набор символов (хеш-сумму), который будет абсолютно другим даже если в исходном тексте заменить одну букву или перекрасить пиксель в изображении. Хеширование позволяет почти со стопроцентной уверенностью контролировать целостность информации при передаче и используется, например, в электронной подписи.

    Одним из масштабных проектов по исправлению нарушения целостности стала так называемая «книжная справа» — широкомасштабная правка церковных книг Русской православной церкви в XVII веке, начатая патриархом Никоном. Дело в том, что церковные книги на Руси изначально были переведены (зачастую с ошибками) с греческого, а после столетиями переписывались дьяками, каждый из которых также мог каким-либо образом исказить изначальный текст. Для того, чтобы разом выявить эти ошибки, Никон решил обратиться к греческим оригиналам и переписать все церковные тексты в соответствии с ними. Несогласие с этими изменениями среди части служителей послужило одной из причин раскола русской церкви.

    Изящным методом заметить утечку в контексте целостности информации стала «фиктивная запись». Составители энциклопедий и картографы в середине прошлого века тратили значительные силы для подготовки своих трудов, а недобросовестные конкуренты могли спокойно воспользоваться чужим трудом — доказать плагиат в подобных случаях практически нереально.  Однако добавление небольшого фрагмента ложной информации в более крупный текст позволяет легче выявить последующий возможный плагиат, когда фиктивная запись копируется вместе с другим материалом. Так, создатели The Trivia Encyclopedia разместили в книге в качестве ловушки заведомо ложную информацию об имени детектива Коломбо, после чего подали в суд на викторину Trivial pursuit, которая использовала некоторые их вопросы и ответы. Аналогичным образом на карты наносятся улицы-ловушки, а в телефонные книги — вымышленные телефонные номера.

     

    Доступность

    Доступность информации заключается в том, что пользователи с нужными правами доступа всегда могут беспрепятственно реализовывать эти права — в первую очередь иметь доступ к информации, а также хранить ее, изменять, копировать и использовать.

    Чтобы воспользоваться какой-либо информацией, нужно ее узнать — но иногда это не так просто. Без современных технологий обмен данными осуществлялся с помощью гонцов — в Древней Греции почтовая система была достаточно хорошо налажена в виде сухопутной и морской почтовой связи. Правительства для передачи сообщений имели в своем распоряжении, как правило, пеших посланцев. Они назывались гемеродромами, а самым известным из них был Филиппид, который по преданию Плутарха в 490 году до н. э. донёс в Афины известие о победе в битве при Марафоне и умер от истощения.

    В 1877 году итальянский астроном Джованни Скиапарелли (Giovanni Schiaparelli) составил одно из первых описаний марсианской поверхности. Директору миланской обсерватории Brera показалось, что он увидел на марсианской поверхности моря, континенты и каналы. Не имея возможности наверняка проверить результаты Скиапарелли — в 1908 году американский астроном Персиваль Лоуэлл пришел к выводу о том, что каналы построили разумные существа для доставки воды (которой не хватало на марсианской поверхности) из полярных районов в пустынные области. Это утверждение породило множество мифов и легенд о марсианах.

    Конфиденциальность

    Всякая конфиденциальная информация содержит в себе ценность. Так появляется тайна и те, кто ее охраняют и те, кто стремятся ее добыть и использовать. До изобретения главного инструмента прессы – печатного станка – секрет передавали на ухо или в скрепленном печатью конверте.

    Утечки становились инструментом политических баталий в наполненном интригами, предательством и мятежами Риме. Как было в случае с заговором под руководством Сергия Каталины. Тайная организация провалилась из-за анонимных писем. Они попали к высокопоставленным римлянам, а те в свою очередь сообщили о них Цицерону. С помощью доказательств и дара красноречия, за что и остался известен потомкам, консул убедил сенаторов, что Римской республике угрожает опасность. Заговор был раскрыт, а пять заговорщиков – казнены.

    Однако, то было время, когда не было массовой культуры и масс-медиа. И отсутствовал явно выраженный запрос на «правду» от еще одного участника истории – народа. В этом ему активно начали помогать газеты, делом которых стало раскрытие конфиденциальной и чувствительной информации. Секретные данные появились в печати, и их публикация стала влиять на сознание общества, приводя порой к масштабным результатам.

    Как пример, история XVIII века с перепиской между губернатором Массачусетса Томасом Хатчинсоном и членом английского правительства. В ней содержалась информация об ущемлении прав жителей Бостона и потакании интересам Британии. Письма были опубликованы в газете. И это значительно усилило напряжённость, которая в итоге привела к войне за независимость США.

    Утечки сейчас

    Мы живем в информационно-цифровой эпохе. Объемы данных зашкаливают, а чувствительность общества к ним только усилилась. Поэтому современные утечки огромны и масштабны. 

    Чего только стоит публикация «Панамских документов», содержащих 11,5 миллионов файлов с персональными финансовыми данными. Еще больший объем - данные о 170 миллионах кредитных и дебетовых карт и личностях владельцев - результат трехлетней деятельности группы хакеров под руководством Альберта Гонсалеса.  Потеря компанией Sony в 2011 году 3 миллиардов долларов в результате утечки имен и фамилий, даты рождения, почтового и физического адресов, логинов и паролей от аккаунтов, историй покупок и платежных адресов 77 миллионов пользователей PlayStation Network.

    Утечки стали приносить многомилионные убытки, а обезопаситься компаниям и государственным учреждениям все тяжелее.

    Последние несколько лет утрата конфиденциальности информации сильно бьёт по Агентству национальной безопасности и Центральному разведывательному управлению США — впервые об АНБ и ЦРУ в этом контексте заговорили после того, как один из специалистов, работавший в обоих этих ведомствах, «вынес» 1,7 млн секретных файлов, касающихся тотальной слежки американских спецслужб за информационными коммуникациями между гражданами многих государств по всему миру. Этим специалистом был Эдвард Сноуден — после него информация о деятельности американских спецслужб полилась рекой. Последними заметными случаями стали взломы систем АНБ хакерами из The Shadow Brokers и утечка от неизвестного информатора пакета документов Vault 7 с информацией о методах работы ЦРУ.

    Очевидно, что мир за окном со времен Цицерона до Эдварда Сноудена изменился. Но приведенные истории имеют много общего. Люди, обладающие информацией, имеют в довесок серьезную власть, а от утечки не застрахован никто. При этом обстоятельства и пути утечки могут быть самыми разными — от греческих папирусов до сетевых шлюзов — решающим фактором всегда оказывается человеческий. Поэтому именно на работу с людьми нужно в первую очередь обращать внимание в контексте обеспечения информационной безопасности. Нужно не только защитить периметр организации техническими средствами, но и проводить постоянную аналитику и работать непосредственно с персоналом.

    Важные публикации

    DLP-система SecureTower

    • Защита от утечек данных по вине сотрудников
    • Контроль работы сотрудников на компьютерах
    • Выявление потенциально опасных сотрудников
    • Ведение архива бизнес-коммуникации