Как, говоря по телефону, не стать «находкой для шпиона»
Автор: Алла ЧЕРНЫШ, руководитель телекоммуникационного отдела ЗАО «БелХард Групп»
Не стоит относиться к идее шпионажа как к киношной «страшилке». Возможно, в офисе нет жучков, возможно, все подступы к электронным ресурсам компании защищены паролями, а к бумажным документам — замками и сторожем. Однако у желающих заполучить секретную информацию всегда остается важный канал — телефон.
Есть два способа избежать телефонного прослушивания: общаться со всеми только лично или создать надежную телефонную систему внутри организации. Цифровая коммутационная система представляется в этом плане оптимальным вариантом. Хотя недостатком большинства таких систем является то, что они не только защищают информацию, но и помогают добывать ее злоумышленникам.
Различные уловки
Технологии прослушивания сейчас весьма разнообразны. Прежде всего, физическое подключение к сетям, когда в ходе разговора слышно потрескивание, вызванное изменением напряжения на линии и других параметров. Оцифрованные переговоры недоступны для тех, кто пользуется только такими приспособлениями, но некоторые специалисты применяют специальные декодирующие цифровой сигнал устройства. Поэтому расшифровка оцифрованных переговоров часто — дело техники.
Простейший способ защиты от такого вмешательства — скрэмблер — устройство, которое дополнительно шифрует цифровой сигнал. Есть очень простые модели, которые могут быть эффективны для защиты только от шпионов-новичков, а есть устройства посложнее, которые превращают разговоры для несанкционированного слушателя в головоломку на всю оставшуюся жизнь.
Впрочем, обычное прослушивание разговора — это технология вчерашнего дня. Нынче популярны манипуляции с программным обеспечением станции и «лишними» либо «неисправными» деталями. Поставщику станции достаточно предусмотреть в программном обеспечении несколько команд (не включая их в техническое описание), чтобы, например, отключить станцию, просто позвонив с внешней линии или подсоединившись к ней через спутник.
С помощью недекларированных (скрытых, известных только разработчикам) команд можно получить в распоряжение записи всех переговоров. В систему встраивается записывающее устройство, которое можно активировать, набрав секретную комбинацию # терминале. Причем телефонный аппарат может быть внешним для системы. После этого специальной командой можно вывести станцию из строя. Когда пользователи вызовут сервисного работника, он заменит какую-то деталь и станция заработает. На самом деле мастер вынесет запись всей интересующей его информации, установив на место уже наполненного носителя чистый. Иногда можно получить информацию, даже не останавливая станции. Специальная команда заставит систему передавать записи по незадействованным каналам.
Проблема сложных систем в том, что полезные функции могут быть использованы против компании.
Доверяй специалистам
Выбирая коммутационную систему, люди не знают наверняка, приспособлена ли она для шпионов или призвана исключительно защищать информацию. Гарантией безопасности системы может быть результат экспертизы компетентных органов. В России это Государственная техническая комиссия. В Беларуси технические экспертизы систем связи проводит Государственный центр безопасности информации при президенте РБ. Это ведомство дает заключение по итогам технической экспертизы, в котором лишь напишут, что оборудование «соответствует требованиям нормативно-методических документов по технической защите информации от утечки по каналам побочных электромагнитных излучений и наводок, предъявляемым к вспомогательным техническим средствам». Такие документы имеют практически все поставщики цифрового коммутационного оборудования на белорусский рынок.
В России иной подход. Там разработана четырехуровневая система сертификации программного обеспечения средств защиты информации по уровню контроля и отсутствия недекларированных возможностей.
Самый высокий уровень контроля — первый. Он гарантирует надежность программного обеспечения (ПО), защищающего информацию с грифом «особая важность». Если информация помечена грифом «совершенно секретно», для ее безопасности достаточно использовать ПО второго уровня контроля. Секретная информация требует, чтобы ПО прошло третий уровень контроля. Самого низкого уровня контроля — четвертого — достаточно для ПО, используемого при защите конфиденциальной информации.
Если программное обеспечение используется для защиты информации, которая считается государственной тайной, то уровень контроля за ним должен быть не ниже третьего. Из всех систем связи, распространенных на территории России, только системы CORAL прошли аттестацию по четвертому и третьему уровням. Возможно, разработчики решились на это тестирование потому, что система первоначально разрабатывалась для спецслужб, а после была адаптирована для гражданского использования.
CORAL имеет единые стандарты как для военного оборудования, так и для гражданской техники. Это говорит о надежности систем. В частности, CORAL используют в Пентагоне, в министерстве обороны Казахстана, в МВД России, на атомных электростанциях и других объектах с повышенными требованиями к безопасности.
И сам не плошай
Даже в проверенных системах есть вполне законные лазейки для шпионов. Они работают, если служебную информацию используют в личных целях сотрудники компании. Речь идет о функции «тихое прослушивание», встроенной в систему. Эта функция была разработана для удобства сотрудников и представляет собой подключение к конференции без микрофона. Она необходима диспетчерским службам, использующим аналоговые записывающие устройства.
Функция DISA заслуживает того, чтобы с ней обращались очень осторожно. Она весьма удобна, если требуется обеспечить доступ к системе внешних абонентов, но одновременно позволяет некоторым людям, звонящим с внешних линий, говорить за счет компании.
Важной частью комплексной защиты является специалист, который разбирается в тонкостях функционирования системы. Пронырливый специалист может буквально под носом у начальства добывать информацию для его конкурентов. Не понадобятся никакой спутник и дополнительное оборудование. Достаточно вписать в программу команду и не сказать о ней ни слова в сопроводительной документации. Никто не будет знать о ней, кроме того, кому сообщит разработчик. Соответственно, и обнаружить утечку информации или причину саботажа системы невозможно. Впрочем, если администратор будет достаточно надежен, он сможет контролировать утечку информации через других сотрудников.
Источник: http://www.br.minsk.by/