Не паролем единым. Как защищать данные в современных организациях
Ценность данных часто описывают фразой «Кто владеет информацией, тот владеет миром». Небрежное обращение с данными открывает доступ злоумышленникам к вашим секретам и способно привести к потере денег и репутации. Можно ли обезопасить себя и свою организацию от действий третьих лиц, и какие технические средства стоит выбрать для этой задачи в наше время? В этой статье мы попробуем разобраться как лучше защищать данные, стоит ли доверять парольной защите, насколько безопасны офисные программы для работы с документами, что такое СКЗИ и почему стоит применять российскую криптографию.
Какие технологии защиты данных применяются в офисном ПО
Современное программное обеспечение для работы с документами, будь то российское или иностранное, как правило, содержит собственные механизмы и инструменты защиты данных.
Лет 20–30 назад, когда документы готовились в основном локально, сотрудники организаций устанавливали пароли на сами файлы прямо в офисном ПО, поскольку существовало устойчивое убеждение, что таким способом можно избежать доступа третьих лиц к содержимому документов. Но любой пароль де-факто становится скомпрометирован ровно в тот момент, когда его передают кому-то ещё. Без этого не обойтись, если с документом, защищенным паролем, будут работать несколько человек.
В сегодняшних реалиях такой метод не обеспечивает должного уровня конфиденциальности и относительно легко взламывается: либо последовательным перебором паролей, либо — используя уязвимости слабых криптографических алгоритмов.
Специалисты в области информационной безопасности полагают, что наиболее эффективной является эшелонированная защита данных — использование множества мер для предотвращения доступа третьих лиц к информации. В основе концепции лежит идея создания нескольких уровней защиты — даже если угрозы пройдут одну линию обороны, то для их остановки будут задействованы другие средства безопасности. Это позволяет значительно снизить риски потери данных.
Такая концепция требует от производителей офисного программного обеспечения предусмотреть возможности применения специализированных программных и программно-аппаратных средств. Их можно использовать как отдельно, так и вместе с офисными приложениями. Набор возможных функций безопасности разнится в зависимости от потребностей пользователей и, как правило, определяется при проектировании информационной системы. Для этого требуется тщательный анализ бизнес-процессов заказчика, только так можно построить наиболее эффективные механизмы защиты.
Какие тренды влияют на офисный документооборот
С каждым годом в любой организации стремительно растет число документов, с которыми работают сотрудники. В среднем объем таких документов уже измеряется сотнями гигабайт — одним лишь хранением их на общем файловом сервере уже не обойтись.
Целесообразно реализовать движение документов в организации через систему электронного документооборота. В этом случае конфиденциальность информации обеспечивается средствами защиты самой системы электронного документооборота. Но поскольку пользователям также требуется часто работать с документами в частном облаке или через электронную почту, то в ИТ-системах следует предусмотреть поддержку современных средств информационной безопасности.
В то же время за долгие годы во многих организациях были накоплены большие объемы документов с парольной защитой, поэтому разработчики программных продуктов всё ещё вынуждены обеспечивать поддержку и таких механизмов для обратной совместимости. И что самое удивительное, пароли до сих пор предпочитают многие пользователи, которые защищают ими даже новые документы.
Защита данных с помощью асимметричной криптографии
Современной альтернативой паролям является применение криптографии с открытым ключом. Это наиболее безопасный способ защиты данных, который набирает все большую популярность среди производителей программного обеспечения и эксплуатантов информационных систем.
Технология предполагает наличие у каждого участника взаимодействия ключевой пары — «публичного» и «секретного» ключей. «Публичный» (или «открытый») ключ нужен для отправки файлов или сообщений электронной почты конкретному получателю. «Секретный» (или «закрытый») ключ — для их расшифровки получателем.
Подтверждение авторства данных с помощью асимметричной криптографии
Такой же принцип лежит и в основе электронной подписи, которая позволяет подтвердить авторство документов и неизменность данных при их передаче. В этом случае «секретный» ключ отправителя используется для «подписи» отправляемых данных. Получатель с помощью имеющегося у него «открытого» ключа отправителя может проверить, что отправитель действительно тот, за кого себя выдает, и при передаче данные не были изменены.
В России использование электронной подписи регулируется №63-ФЗ «Об электронной подписи». Электронная подпись данных, которая выполняется в соответствии с требованиями законодательства, придает документам юридическую значимость.
Виды электронной подписи
Существует два вида электронной подписи. Простая электронная подпись предполагает доступ какого-либо лица к данным и сервисам с использованием кодов, паролей или иных подобных средств. Усиленная электронная подпись обладает более широким набором свойств:
- электронная подпись получена в результате криптографического преобразования информации с использованием ключа;
- позволяет однозначно определить лицо, подписавшее электронный документ;
- позволяет обнаружить факт внесения изменений в электронный документ после его подписания;
- создаётся с использованием средств электронной подписи.
При этом важно различать усиленную неквалифицированную и усиленную квалифицированную электронную подпись (КЭП). Усиленная квалифицированная электронная подпись помимо всех признаков усиленной неквалифицированной содержит ещё и дополнительные свойства:
- ключ проверки электронной подписи указан в квалифицированном сертификате;
- для создания и проверки электронной подписи используются средства, которые соответствуют требованиям упомянутого выше №63-ФЗ.
Усиленная квалифицированная электронная подпись может использоваться не только в корпоративных информационных системах, но и служит средством идентификации и аутентификации в государственных информационных системах. Например, КЭП применяется на порталах государственных услуг, закупок или реализации имущества.
Таблица ниже позволит нагляднее разобраться в типах и свойствах электронной подписи.
На практике это означает следующее — если организации требуется обеспечить юридическую значимость документов, то следует выбирать программное обеспечение с поддержкой ключей электронной подписи, в том числе и квалифицированной электронной подписи, которую выдает аккредитованный удостоверяющий центр.
Применение российских криптоалгоритмов позволяет добиться юридической значимости коммуникаций в соответствии с действующим законодательством, повысить защищенность каналов связи и способствует снижению рисков несанкционированного доступа к конфиденциальной информации. Например, в продуктах МойОфис можно использовать электронную подпись и шифрование сообщений электронной почты, а также защиту каналов связи с помощью средств российской криптографии.
Чек-лист «Безопасна ли работа с документами в вашей организации?»
Ниже расположена небольшая анкета, которая поможет оценить готовность вашего предприятия к переходу на безопасную работу с документами. Руководствуясь анкетой вы получите понимание текущей ситуации и определите направления дальнейшего развития корпоративной инфраструктуры.
Анкета состоит из 14 простых вопросов, ответить на которые можно либо утвердительно, либо отрицательно.
Преобладание ответов «Да» над ответами «Нет» показывает степень готовности организации к вызовам информационной безопасности.
А вы способны изменить подход организации к работе с документами?
Если вы честно отвечали и поняли, что на 14 вопросов дали не более 5 положительных ответов, то организация может находиться под серьезной угрозой. Конечно, надежно защитить данные поможет только комплексный подход к информационной безопасности. Но в то же время существует необходимый гигиенический минимум, который позволяет кардинально снизить риски утечки критически важных данных. При создании и эксплуатации любой информационной системы необходимо продумывать меры безопасности на всех уровнях. Рассчитывать же лишь на один пароль для защиты документов довольно опрометчиво.
Начните с малого — расскажите сотрудникам о современных подходах к информационной безопасности и средствах защиты информации, откажитесь от публичных облаков и организуйте частное облако в подконтрольной инфраструктуре. Такое облако может быть в собственности, управлении и обслуживании у самой организации либо у доверенной стороны, а также может располагаться как на территории предприятия, так и за его пределами.
Следующим шагом, который приведет к повышению компьютерной грамотности персонала и, как следствие, к снижению рисков утечки данных, станет переход на использование прикладного программного обеспечения с поддержкой квалифицированной электронной подписи, уровень криптографической стойкости которой находится принципиально на другом уровне.
