Специальные проверочные мероприятия (Игорь Чернов, Директор ТОО «Informsecurity)
Специальные проверочные мероприятия
Игорь Чернов,
Директор ТОО «Informsecurity»
Всегда держись начеку.
Козьма Прутков.
Для начала расскажу одну историю.
Пару лет назад пригласили меня для консультации в одну довольно крупную компанию. Я приехал, встретился с руководителем, и он рассказал мне такую историю. Пригласили они неких ребят для проведения проверки кабинетов на наличие «жучков». Проверяли пять кабинетов. Ребята за час управились, в пятом кабинете нашли «жучок», получили причитающееся небольшое вознаграждение и большой бонус за обнаруженное устройство и убыли восвояси. Найденного «жучка», естественно, увезли с собой. Но, говорит мне руководитель этой компании, меня терзают смутные сомнения. Я поставил себя на место тех, кто установил «жучок» в кабинете (очень правильная мысль). Они же хотели получить какую-то информацию. А вот тут и не сходится. Дело в том, что в том кабинете, в котором нашли «жучок» такая информация не циркулировала никогда. Человек, который сидит в этом кабинете хоть и занимает должность заместителя Генерального директора, фактически является завхозом. Он мой родственник, поэтому у него такая высокая должность. И задачи у него – чтобы туалеты были чистыми, чтобы территорию дворники убирали, чтобы лампочки горели и чтобы бордюры регулярно белились, а заборы красились. Он конечно знает чем занимается компания, но он абсолютно не в курсе конкретных дел, его даже на важные совещания не приглашают. И вот что хотели знать те люди, которые ставили «жучка» в его кабинет? Сколько мой офис в месяц тратит туалетной бумаги (цитирую дословно)? Смешно. Получается что не было никакого смысла устанавливать такое устройство в его кабинете. Но из этого выходит, что те ребята, которые делали проверку, на самом деле её не делали, а только искали возможность «найти» то, что принесли в кармане для того, чтобы получить бонус. Это подтверждается и тем, что когда они обследовали первые четыре кабинета, за ними следили наши сотрудники службы безопасности, а когда они искали в пятом кабинете, за ними уже никто не смотрел. А вот теперь, говорит мне этот руководитель компании, переходим к консультации. Дело в том, что мы совсем не от нечего делать заказали проверку. У нашей компании была очень серьёзная проблема. И в этих четырёх кабинетах обсуждались пути решения этой проблемы, проводились встречи с людьми и другие мероприятия. И если то, о чём говорилось в этих кабинетах, попало не в те уши, то проблемы наши увеличатся многократно и даже может встать вопрос о прекращении существования компании. Что вы нам посоветуете в такой ситуации? Я не стал умничать, посоветовал им сходить в мечеть и в церковь, помолиться и надеяться на лучшее. Денег, к слову, с них не взял.
Итак, специальные проверки помещений. На сегодняшний день это самый распространённый и самый действенный способ предотвратить утечку информации, организуемую с помощью «жучков». Однако несмотря на то, что почти никто не сомневается в необходимости проведения таких мероприятий, мало кто знает как это должно делаться. Не в смысле тонкостей процесса поиска, это оставьте профессионалам, а в плане общей организации поисковых мероприятий. И на что в первую очередь надо обращать внимание, когда вы пригласили специалистов «почистить» ваш кабинет. При этом совсем не важно, легальная ли это компания, имеющая гос. лицензию на этот вид деятельности, или это просто какие-то ребята, подрабатывающие проверками помещений в свободное время. Правила для всех одинаковы. О них и поговорим.
При планировании и организации проведения проверочных мероприятий в своих помещениях вы обязательно в той или иной степени столкнётесь с тремя категориями проблем.
Категория первая – организационные проблемы.
Типичные ошибки для этой категории. Ошибка первая и самая распространённая. Очень многие ошибочно понимают главную задачу таких проверок. Задача специальной проверки состоит совсем не в том, чтобы найти «жучок». Именно на этом и играют множество ребят, работающих по принципу: мало денег за проверку, но много за найденный «жучок». Поэтому они всегда их и находят. Те, которые приносят в собственных карманах. На самом деле главная задача – получить после проверки «чистый» кабинет, в котором можно свободно обмениваться информацией не опасаясь за то, что она попадёт не в те уши. Ошибка вторая. Мероприятия проводятся либо хаотично и бессистемно, либо по итогам свершившегося факта. То есть подтверждается постулат о том, что многие начинают что-то делать только тогда, когда в некую часть их тела клюнет жареный петух. Толку от таких мероприятий как правило нет. Третья довольно распространённая ошибка. О планируемом проверочном мероприятии знает большое число сотрудников. В результате происходит утечка информации и технику просто на время изымают. Данная ошибка весьма характерна для крупных компаний, в которых договор на проведение проверочных мероприятий проходит кучу согласований в различных подразделениях – отделе маркетинга, бухгалтерии, юридическом отделе, прочее.
Перейдём непосредственно к проверке. Это мероприятие всегда состоит из определённых этапов, назовём их поисковыми процедурами. Перечислим их.
1. Проверка радиоканала на наличие «жуков» работающих в аналоговом режиме.
2. Проверка радиоканала на наличие «жуков» работающих в цифровом режиме.
3. Проверка радиоканала на наличие «жуков», использующих известные распространённые протоколы, такие как GSM, Wi-Fi и прочие.
4. Проверка сети питания на наличие устройств передачи информации, использующих такие сети.
5. Проверка всех слаботочных цепей (линии телефонной связи, охранной и пожарной сигнализации, прочее) в режиме низкочастотных сигналов.
6. Проверка всех слаботочных цепей (линии телефонной связи, охранной и пожарной сигнализации, прочее) в режиме высокочастотных сигналов.
7. Поиск скрытых видеокамер.
8. Поиск источников низкочастотного электромагнитного излучения.
9. Поиск полупроводниковых переходов нелинейным локатором.
10. Проверка источников теплового излучения.
11. Визуальный осмотр.
Примечание. Здесь указан только минимально необходимый перечень процедур. При необходимости, обусловленной подозрением на наличие в помещении сложных высокотехнологичных изделий, количество процедур может быть существенно увеличено.
Зачем такие сложности, спросите вы? А я скажу. Применением такого количества процедур достигается решение двух задач. Задача первая – поиск устройств, создающих каналы утечки информации различных типов и в различных средах. И задача вторая. О ней стоит сказать отдельно. Как вы думаете, над чем в основном работают умники в компаниях, разрабатывающих и производящих технику негласного съёма информации? Думаете над увеличением дальности действия «жучков»? Или над уменьшением их размеров? А вот и нет. Не спорю, работы над этими задачами ведутся, но это не основные разработки таких компаний. Дело в том, что по этим вопросам всё, что могло быть изобретено, уже изобретено, и каких-то прорывов в этих вопросах в ближайшее время ждать не приходится. А работают они в основном над вопросом маскировки «жучков». Изобретают новые способы передачи информации или новые принципы работы таких изделий. И эти способы и принципы должны воспрепятствовать обнаружению «жучка» при проведении специальных проверок. Это актуально в наше время, когда любую поисковую технику может свободно приобрести кто угодно. Их много, этих способов и принципов. Я их здесь перечислять не буду, о некоторых способах маскировки можно прочитать в интернете, о некоторых способах знать всем пока не положено. Как я уже писал раньше, двадцать лет назад «жучок» с маскировкой передачи информации был для нашей страны чем-то экзотическим. Сейчас же такой тип «жучков» является основным для применения. И их просто физически невозможно найти, например, китайским сканером, который почему-то считается у многих основным поисковым устройством. Так вот. Такое количество поисковых процедур необходимо ещё и для того, чтобы гарантировано найти такие устройства. Это и есть вторая задача.
Ещё одна организационная проблема. Это периодичность проверок. Необходимо сказать, что сам по себе разовый поиск практически не дает реальных результатов. Даже в случае обнаружения «жука» вопросов возникает больше, чем ответов. Проверка имеет смысл только в том случае, если она является одним из звеньев общего плана мероприятий, организационных и технических, направленных на предотвращение утечки информации. Так что проверяться нужно регулярно. Как регулярно? Это зависит от многих вещей. От этого общего плана мероприятий. От активности конкурентов. От участия компании в госпрограммах. От наличия и активности судебных тяжб, в которые вовлечена компания. И так далее. Как пример показателен в этом плане разговор, состоявшийся у меня с одним функционером Службы безопасности одного из наших банков. Когда я сказал ему, что необходимы регулярные проверки, он спросил меня – в чём их смысл? Тогда я его спросил – сколько раз за последний год их банк грабили? Слава Аллаху ни разу – ответил он. А сколько раз в банк пытались пронести оружие, наркотики, взрывчатку – спросил я? Тоже ни разу – был его ответ. Тогда получается что вы целый год напрасно тратили огромные деньги на охрану твоего банка, всех его отделений и кассовых центров – сказал я. А не лучше ли было бы нанять охрану, например, на неделю, именно на ту, когда планируется ограбление банка – спросил я? Вы бы сэкономили кучу денег. Это было бы прекрасно – ответил он. Но есть проблема. Мы же не знаем точно, когда кто-то запланирует ограбить наш банк. Поэтому мы и вынуждены содержать постоянную охрану и действительно платить за это большие деньги. Тогда я спросил его – то есть из этого следует, что ты всегда точно знаешь когда против твоего банка будут некими недоброжелателями предприняты недружественные действия, и в ходе этих действий для получения нужной информации будет применена техника негласного съёма информации? Или всё-таки не всегда знаешь? Вопрос, как говорится, риторический.
Продолжение следует.