Версия для печати

Стратегический дозор

Использование Solar Dozor в системе антитеррористических (контрразведывательных) мероприятий
Смирнов Эликс

13 февраля 2018 года на заседании Совета Безопасности ООН, посвященном защите объектов инфраструктуры от террористов, заместитель постоянного представителя РФ при ООН Геннадий Кузьмин отметил, что «Одной из приоритетных целей для террористических атак в России являются объекты топливно-энергетического комплекса (ТЭК). В этой связи еще в 2011 году созданы специальные комиссии, ответственные за обследование объектов энергетической инфраструктуры на предмет антитеррористической защищенности. На регулярной основе проводятся совместные контртеррористические учения и тренировки, в том числе с участием частного сектора».

Геннадий Кузьмин также отметил, что «инфраструктурные объекты, в том числе аэропорты, нефтеперерабатывающие заводы, коммуникационные сети и банки, остаются для террористов весьма привлекательной мишенью» и «ситуация осложняется тем, что элементы критической инфраструктуры глубоко взаимосвязаны между собой, а их функционирование зачастую не ограничено единственной юрисдикцией». В заключение наш дипломат подчеркнул, что в этих условиях особенно востребован обмен информацией и наилучшими практиками между странами при координирующей роли ООН, и Россия готова делиться опытом в сфере безопасности со всеми заинтересованными партнерами.


И России действительно есть чем поделиться. Уже много лет антитеррористические мероприятия (АТМ) являются обязательными не только для спецслужб и правоохранительных органов, но и для служб безопасности крупных компаний, и государственных, и частных. Поэтому накоплен огромный опыт комплексного противодействия террористическим атакам (ТА), имеются многочисленные решения в области антитеррора, проверенные практикой.


Одним из таких решений, по понятным причинам малоизвестным широкой публике, является применение системы контроля коммуникаций сотрудников Solar Dozor в АТМ на стратегических инфраструктурных объектах (СИО). Разумеется, Solar Dozor не в состоянии отбить налет диверсионно-террористической группы или усилить инженерно-технические средства защиты. Но в комплексе антитеррористических мероприятий данное решение занимает достойное место, т.к. его уникальный функционал и отработанная на многочисленных внедрениях тактика применения в АТМ позволяют не только выявлять признаки подготовки теракта, в том числе на ранних этапах, но и эффективно противодействовать такой подготовке.


Редактор для принца Уильяма


Для террористических группировок любой стратегический инфраструктурный объект – привлекательная цель. Но осуществить атаку на него не так-то просто – этому препятствует целый комплекс мер защиты, начиная с пропускного режима и заканчивая регулярными оперативными мероприятиями. В общем, как говорят на Руси, видит око, да зуб неймет.


Поэтому террористы, уничтожающие такие стратегические объекты лихим кавалерийским налетом без предварительной разведки, бывают только в плохих боевиках. В жизни атака будет тщательно планироваться, а для этого ее организаторам потребуется множество самой разной информации об объекте. Террористов будет интересовать всё: режим охраны объекта, задействованные силы и средства, используемые технические средства, их расположение и контролируемые зоны, систематические нарушения в системе безопасности, даже информация о технологических процессах и технологическом оборудовании может существенно облегчить планирование и проведение террористической атаки.


Информацию о системе охраны стратегического объекта получить не так-то просто – она, как правило, не лежит в открытом доступе (В соответствии с ФЗ-131 данные сведения могут относиться к гостайне). Исключения из этого правила, к сожалению, есть: например, в социальные сети иногда попадают фотографии из офисов с конфиденциальными документами в кадре, а на форумах в ходе профессиональных диспутов выбалтывается чувствительная информация. О большинстве подобных утечек известно, в основном, узким кругам, но бывают и скандалы мирового масштаба – так, например, фотографии с базы королевских ВВС принца Уильяма, болтающего с коллегами на фоне паролей и логинов от информационной системы базы, облетели в 2012 году весь мир.


К счастью, информация такого рода редко появляется в открытом доступе, её нельзя использовать без перепроверки, она не может дать ответы на все интересующие террористов вопросы, а последствия своевременно выявленных утечек в большинстве случаев удается минимизировать. Но все это не делает утечки такого рода менее критичными – они могут существенно облегчить террористам планирование и исполнение атак.


Обеспечить террористов достаточным объемом требуемых данных в состоянии только агентурная сеть, имеющая доступ к информации об объекте атаки. К тому же, агентура может быть задействована не только для получения информации, но и для активных действий, а в крайнем случае – для прикрытия особо важных информаторов. Создание агентурных позиций – процесс сложный и долгий. Нередко для выхода на информатора, имеющего непосредственный доступ к нужным сведениям, разыгрываются многоходовые комбинации. Привлекаются люди («наводчики»), не имеющие доступа к информации, но располагающие нужными связями.


В подготовке агентурных позиций террористам может помочь Интернет – СМИ, корпоративные сайты и блоги, личные блоги сотрудников в социальных сетях, тематические форумы, сайты знакомств и даже онлайн-игры. Там можно и найти, и обсудить сведения о сотрудниках и руководителях, об их семьях, родственниках и друзьях, об образе жизни, долгах и покупках. Нередко эти источники позволяют получить компрометирующую людей информацию, угрожающую их социальному или семейному положению и даже способную повлечь уголовную ответственность в случае раскрытия.


Этой информации вполне хватит для начальных этапов вербовочной разработки – выявления кандидатов, оценки их уязвимости, оперативных возможностей, способностей, мотивации и много другого, что необходимо для привлечения к сотрудничеству. Более того, современные информационные технологии позволяют не только начинать вербовочную разработку в тех же социальных сетях или на форумах, но со временем доводить её до логического конца, оставаясь для своих информаторов виртуальным персонажем, да ещё и «под чужим флагом» (т.е. выступающим от имени другой организации или страны). 


Так, например, на одном из СИО инженер-слаботочник М. из отдела технических средств охраны объекта пытался переслать информацию «ДСП». Документ содержал данные о серьезных проблемах с новыми техническими средствами охраны и был адресован представителю компании, конкурирующей с действующим поставщиком технических средств охраны объекта. Проверка показала, что их знакомство состоялось на одном из профессиональных форумов. Оно было только виртуальным, но финансово полезным для М., в тот момент находившимся в сложной финансовой ситуации. Ему дали возможность неплохо заработать на нескольких заказных обзорах технических средств охраны (которые, правда, так и не увидели свет), а спустя некоторое время свели с человеком, с которым были достигнуты договоренности о сборе информации о недостатках в работе технических систем охраны объекта. Это подавалось под соусом коммерческой борьбы между двумя поставщиками и, конечно, было щедро вознаграждено. Надо ли говорить, что конкурирующая компания была ни при чем?


Клубки проблем и «ниточки» спецслужб


Как же Solar Dozor может противодействовать подготовке террористической атаки? Система позволяет решать широкий спектр задач информационной, кадровой и экономической безопасности.


Как классическая система защиты от утечек конфиденциальных данных (DLP – Data Leakage Prevention, предотвращение утечек данных), Solar Dozor контролирует информацию, которую сотрудники компании передают и получают по различным каналам корпоративных компьютерных коммуникаций. В случае нарушения правил пересылки информации Solar Dozor создает уведомление, служащее для офицера информационной безопасности сигналом о нарушении, а при необходимости система может заблокировать пересылаемое сообщение.


Именно возможность блокировки отличает DLP-систему от тех, что гордо именуют себя DLP, но на деле таковыми не являющимися. Ведь «классическая» DLP-система – это система защиты информации от утечек. А защитить информацию от утечки можно, только не допустив её несанкционированного выхода за пределы компании, т.е. заблокировав. При отсутствии функции блокировки возможна лишь фиксация самого факта утечки информации. Как говорится, «почувствуйте разницу». Надо заметить, что последнее время пользователи DLP-систем начинают осознавать важность данного функционала – сейчас им пользуется большинство российских банков и предприятий ОПК.


Для противодействия пересылке информации, интересной террористам, требуется в первую очередь определить перечень такой информации и документов. Затем необходимо описать их в Solar Dozor, чтобы система могла идентифицировать их в трафике, и настроить правила пересылки.


На практике описание ценной информации и документов иногда вызывает сложности. Поэтому в стандартную поставку Solar Dozor мы включили более сотни готовых описаний часто встречающихся документов и информации (так называемых информационных объектов). Так, например, в стандартной поставке имеются информационные объекты «Гостайна» и «ДСП», идентифицирующие в контролируемом трафике соответствующие документы. Наличие готовых информационных объектов позволяет приступать к работе с комплексом сразу же после развертывания. Кроме того, пользователям Solar Dozor доступна техническая и аналитическая поддержка, регулярно проводятся различные обучения и пользовательские вебинары.


Как Solar Dozor выявляет передачу конфиденциальной информации нелегитимным получателям? Для анализа содержания текстовых документов используются наборы ключевых слов и фраз, словари регулярных выражений. Для отсканированных документов существует встроенный OCR (модуль распознавания текста), а если его возможностей недостаточно, можно подключить модуль OCR ABBYY. Для идентификации графических документов, таких как схемы и карты, есть свои способы идентификации, в т.ч. являющиеся ноу-хау компании Solar Security.


Один из способов выявления конфиденциальной информации в потоке передаваемых данных – цифровые отпечатки. Как можно понять из названия, эта технология похожа на дактилоскопию, только отпечаток снимается не с пальца, а с защищаемой информации. Данный способ позволяет надежно идентифицировать графические или сложно формализуемые текстовые документы. Существенными преимуществами данной технологи являются надежность идентификации и высокая степень автоматизации. Пользователю достаточно указать целевые папки, где расположены секретные документы, задать расписание их сканирования и степень совпадения с исходным документом, при которой отправка сообщения будет заблокирована. В заданное время Solar Dozor просканирует папки и, в случае появления там новых документов или изменения старых, снимет с них цифровые отпечатки. Они будут помещены в базу эталонных отпечатков, и в дальнейшем вся передаваемая информация будет проверяться на предмет совпадения с ними.


Надо заметить, что идентификация информации и документов происходит по совокупности признаков – содержанию, реквизитам документов, атрибутам файла и т.п., - поэтому Solar Dozor нельзя обмануть ни уничтожением или изменением реквизитов, ни изменением имени файла, ни сменой расширения, ни массой других уловок. Разработчикам Solar Dozor все эти хитрости хорошо известны, и они не помешают успешно выполнить задачу идентификации пересылаемой информации.

 

Незаметно для получателя и отправителя изменить сообщение, удалив из него критичную информацию или подменив её на другую, может только Solar Dozor

Но всё или почти всё вышеперечисленное могут и другие «классические» DLP-системы, несмотря на то, что их легко пересчитать по пальцам одной руки. А вот незаметно для получателя и отправителя изменить сообщение, удалив из него критичную информацию или подменив её на другую, может только Solar Dozor. Для этого используется модуль реконструкции почтовых сообщений. Данный функционал позволяет проводить сложные оперативные комбинации, крайне необходимые при проведении антитеррористических мероприятий.


Во-первых, удаляя из сообщения критичную информацию, можно защититься от случайных утечек, которые, по статистике, составляют более 80% от общего числа подобных инцидентов. Во-вторых, заменяя критичную информацию на заранее подготовленную, можно отправить получателю дезинформацию, обратив таким образом усилия террористов на заданные цели, находящиеся под усиленным скрытым контролем. При этом отправитель и получатель будут пребывать в полной уверенности, что передача информации прошла успешно, и это даст спецслужбам необходимые «ниточки» и время для активной работы по пресечению готовящегося теракта. И, наконец, грубая (заметная) подмена информации позволяет показать получателю, что информатор и канал пересылки информации находится под контролем. Это ведет к компрометации информатора и обесцениванию ранее полученной от него информации. К тому же, компрометация агента может осложнить или даже сделать невозможной перепроверку информации, полученной из других источников.


Внимательный читатель может спросить: «А как же другие каналы пересылок?». Они тоже контролируются Solar Dozor, и попытки передачи через них критичной информации могут блокироваться – например, можно заблокировать пересылку любых файлов в «облако» или через мессенджер. Или блокировать копирование файлов на USB-носитель по результатам контентного анализа. Но в любом заборе должна существовать дырка, незаметно контролируемая службой безопасности. Такой дырой и будет канал корпоративной почты.


Для террористов и их пособников этот канал передачи информации самый безопасный и, соответственно, наиболее вероятный. Ведь с флешкой в кармане могут задержать на проходной, и придется давать крайне неприятные объяснения. Ещё труднее будет объяснить использование VPN-туннелей, средств удаленного доступа и прочих ухищрений, выдающих умысел с головой. Пересылку же по корпоративной почте легко объяснить ошибкой, особенно если адрес получателя будет похож на адрес контрагента. Так, например, известны случаи якобы ошибочных пересылок на личную почту – мол ошибся, заметил и тут же удалил письмо. А прикрепленные файлы к моменту удаления уже были скачаны другим лицом, который якобы взломал личную почту незаметно для её владельца.


Задача противодействия утечкам критичной информации – не единственная в рамках антитеррористических мероприятий. Не менее важна профилактика. Упреждающие решения позволяют своевременно выявлять недостатки в системе безопасности объекта и ранние признаки подготовки терактов. Так, например, контроль коммуникаций сотрудников охраны и сотрудников, обслуживающих технические средства охраны, в рамках «классической» информационной безопасности ведется с целью пресечения утечек информации. Однако только дополнительный анализ переписки данных сотрудников, проводимый в рамках АТМ, выявляет факты нарушений в работе охраны и скрываемые проблемы с техническими средствами. С этой же целью может вестись и регулярный анализ переписки других сотрудников. В Solar Dozor для такого анализа используются заранее созданные поисковые запросы, выполняемые по расписанию и существенно снижающие трудозатраты на анализ, число ошибок и требования к инженерной квалификации пользователя системы.


Также необходим дополнительный контроль информации, размещаемой в открытых источниках, поскольку она, как уже было сказано, существенно облегчает террористам подготовку атаки. «Классическая» оценка информации, выкладываемой в открытый доступ, не работает - каждый отдельный факт размещения информации может не нарушать правил безопасности, но в совокупности они могут стать источником бесценной для террористов информации. Поэтому для создания эффективной системы контроля такого трафика необходимы в первую очередь аналитические инструменты, позволяющие быстро анализировать значительные объемы плохо структурированной информации.


Группы риска – под контролем


Надо заметить, что любая, даже самая эффективная система контроля, должна быть частью действующей в компании концепции People-Centric Security (PCS), – безопасности, где в центре внимания находится человек. Так, например, регулярное объяснение сотрудникам рисков и последствий размещения личной информации в социальных сетях способно существенно снизить объемы и ущерб от такого размещения. (Кстати, падение интереса к социальным сетям может серьезно облегчить оперативную комбинацию с использованием аккаунта фиктивной персоны, т.к. осложняется или становится невозможной проверка).


В Solar Dozor данная задача решается аналогично задачам профилирования по линиям кадровой и экономической безопасности. В основе решения лежит использование событий низкого уровня, не являющихся нарушениями правил информационной безопасности, но позволяющих автоматически дополнительно размечать контролируемый трафик по фактам, значимым в рамках антитеррористических мероприятий.


Например, жалобы сотрудника на финансовые проблемы или сложности в семье, рассказы о дружеских вечеринках или конфликтах на работе, размещаемые в социальных сетях, получат соответствующие пометки для последующего анализа.
Ещё одной важнейшей задачей профилактики является так называемое профилирование сотрудников. В Solar Dozor оно применяется для своевременного выявления сотрудников и контрагентов, относящихся к тем или иным группам риска, начиная с группы риска «Поиск работы» и заканчивая группой риска «Подозрение в мошенничестве». В системе АТМ профилирование позволяет выявлять потенциальных кандидатов на вербовку и признаки уже ведущихся вербовочных разработок.


В основе профилирования сотрудников также лежит принцип накопления низкоуровневых событий. Так, например, нельзя сделать вывод о принадлежности сотрудника к группе риска «Должники» по единственному сообщению с просьбой о займе. Но некоторое количество таких сообщений уже может дать основания для такого вывода и добавления персоны в соответствующую группу особого контроля (ГрОК). Сотрудников, входящих в ГрОК, можно контролировать по дополнительным, более жестким, правилам – например, запрещая им копировать документы на USB-носители или выкладывать файлы в облачные хранилища, а также создавая по их действиям события повышенного уровня критичности с отдельным уведомлением офицеров безопасности. В Solar Dozor также реализована возможность передачи информации в СКУД, что позволяет блокировать персоне из группы особого контроля выход за периметр – например, если система зафиксировала копирование критичной информации на USB-носитель.


Группы особого контроля можно наполнять как вручную по результатам анализа, так и автоматически по созданному событию, т.к. каждой ГрОК присущи не только определенные риски, но и характерные особенности поведения персон, относящихся к ней. Так, например, в ГрОК «Радикальный ислам» могут быть добавлены персоны, использующие в переписке характерные ключевые слова и фразы, посещающие соответствующие сайты и группы в социальных сетях, получающие или скачивающие литературу и музыкальные произведения, характерные при проведении вербовочных мероприятий экстремистами. Естественно, что это не полный набор признаков, по которым можно выявлять будущих адептов радикального ислама, а вышеприведенный набор признаков не дает окончательного вывода и требует дополнительных проверок. Но если в компании работают тысячи человек, то автоматическое выявление персон с известными особенностями поведения существенно облегчает как выявление персон из групп риска, так и их последующий контроль.


В дальнейшем под контролем должна находиться не только переписка сотрудников, но и различные аномалии в их поведении. Например, повышенного внимания требуют факты, когда персоны из группы риска «Игроманы» или «Должники» внезапно погашают долги из непонятных источников, персоны из группы риска «Скрытый поиск работы», недовольные зарплатой, внезапно меняют планы и становятся материально удовлетворенными, а параллельно статистический анализ коммуникаций персоны показывает резко возросший интерес и активность общения с секретоносителями.


Оценивать такие аномалии поведения необходимо через призму противодействия терроризму, т.к. профессионалам хорошо известны все способы склонения к сотрудничеству на различной основе – идеологической, материальной, под давлением и другие, а также признаки такого зарождающегося и развивающегося сотрудничества.


***


Подводя итог, можно сказать, что Solar Dozor обладает широкими возможностями по противодействию угрозам террористических атак и должен включаться в комплексные системы безопасности режимных объектов. Нет никакого сомнения, что российский опыт применения Solar Dozor в антитеррористических мероприятиях будет востребован и за рубежом. Мы также убеждены, что применение DLP-систем в АТМ уже в ближайшее время станет не только стандартом де-факто, но и стандартом де-юре (compliance).

 

Эликс Смирнов, кейс-аналитик по направлению Solar Dozor компании Solar Security


 

 

Вниманию читателей «ВПК»

  • Past:
  • 3 дня
  • Неделя
  • Месяц