Чтобы выведать коммерческую тайну компании или просто получить доступ к закрытой информации, злоумышленники устраивают атаки на корпоративную компьютерную сеть, ищут бреши в системе информационной безопасности и пытаются ими воспользоваться. Зачем все усложнять? Гораздо проще украсть копировальный аппарат. В его электронных недрах есть жесткий диск, на который записываются абсолютно все, что когда-либо прогонялось через копир. Сканы с паспортов сотрудников, анкеты клиентов, командировочные удостоверения, финансовые документы, договоры и даже филейные части сотрудниц, оставленные из озорства или в результате любовного приключения на рабочем месте, - все это остается в его памяти. Глаза на ситуацию открывает портал HowStuffWorks.
Копиры корпоративного класса - это мощные многофункциональные устройства, которые часто включены в локальную сеть предприятия. Кроме работы по прямому назначению их создатели наделили копиры другими талантами. В результате такой аппарат стал практически полноценным компьютером со встроенной функцией печати, а по совместительству - краеугольным камнем оптимизации документооборота в компании. Другими словами, копир - штука сложная настолько, что подавляющее большинство пользователей об этом даже не подозревают. А о существовании в копире жесткого диска - тем более не догадываются.Копировальный аппарат представляет собой огромную дыру в системе информационной безопасности компании. Если сети и пользовательские компьютеры как-то защищаются от хакерских атак и утечек данных, то на копиры обычно внимания не обращают. А зря. Хранящиеся там данные - лакомая добыча для всякого рода злоумышленников. Их можно получить, физически вынеся диск из офиса в портфеле или спустив его на веревочке из окна ожидающему внизу сообщнику. Все, что им останется, - подключить диск к компьютеру и слить с него все данные. «Веселые картинки» корпоративной истории окажутся в распоряжении темных личностей как на блюдечке.Специально для скептиков, которые не верят в существование жестких дисков в копирах корпоративного класса, репортеры американской телекомпании CBS подготовили познавательный сюжет, где есть пара слов о конструкции копировальных аппаратов:
В общем, IT-директорам, озабоченным вопросами информационной безопасности, снова будет над чем подумать. Равно как и главам компаний, которые, скажем мягко, не совсем искренни по отношению к государству. Поэтому перед очередным сеансом «масок-шоу» во время форматирования бухгалтерских компьютеров и вывоза серверов в неизвестном направлении не забудьте извлечь из копира жесткий диск и изрубить его пожарным топором. Чтобы уж наверняка.
Фото: pixabay
На самом деле производители многофункциональных устройств для своих машин, оснащенных жесткими дисками, выпускают программное обеспечение, которое надежно стирает и перезаписывает данные, которые хоть когда-то были на этом HDD. Кого интересуют вопросы информационной безопасности, связанные с использованием офисного оборудования (в частности, копиров и МФУ), вэлком за консультациями.
Интересный момент получается, как в Законах Паркинсона, размер суммы/проблемы обратно пропорционален времени ее утверждения/решения. Буду готов засчитать поражение если все обратятся к Дамиру Калымбаеву за советами и консультациями, самое интересное и грустное, что есть уверенность, что этого не происходит.
Расскажу пару историй из своей бытности, так как занимался и продажами соответствующего оборудования и потом часто пересекался со службами безопасности.
Одна история о том, как одна компания, в которой я работал, не могла привезти в Россию, большие и умные МФУ-шки, из-за того, что там стояли жесткие диски, с такой системой защиты, что приравнивались нашими спецслужбами к криптографическим системам и которые (службы) требовали алгоритмы шифрования от производителя, на что производитель мягко посылал их в сад :-). Вопрос решился по аналогии фильма ''Оружейный барон'' с Николасом Кейджем, когда боевый вертолеты продавались - отдельно сама машина, отдельно оружие, так можно, вместе низззя, в данном случае с аппаратов снимались жестие диски, таможились по частям, а ставились в России.
Вторая история о том, как я занимаясь препринимательской деятельностью в разрезе охранно-пожарно-видео-и т.п. безопасности :-), встречался с директорами по безопасности банков!, которые на такие аппарты даже внимание не обращали. Причем любой студент, проиходящий на практику, мог спокойно копировать любой текст и покидывать себе в отчет, ситуация дошла апогея, когда в одном из ГТУ ЦБ РФ, студент для пятерки по практике еще и засунул копию ДСП-шного документа в отчет, документ нашли, но потом практически во всех банках, начальники отделов при наборе практикантов стали спрашивать, ты с того-то ВУЗа? ... испуганные практиканты боязно говорили или да или нет, на нет, начальник говорил примерно так: ''...фух, на доки ди работай...'' :-).
Самое интересное, что всегда, зачастую, в крупных организациях приобретается такой серьезный агрегат, который защищает о рисков в плане кражи, порчи, изменения информации, сто-пятьдесят раз перезаписывает, шифрует, ставит секретные метки, только кофе не носит. Но еще чаще, организации приобретающие такие устройства даже не задумываются о том, что это риски и ими надо управлять. Конечно после бесед с представителями безопасности, проблема решалась очень быстро, но это ''крупняк'', что касается комерсантов, то здесь эти службы не такие развитые и быстро реагирующие, да и не всегда в штате есть специалисты.
Проблема я считаю, что может или сама статья не полностью отразила суть опасности, то ли все-таки бизнес не понимает, что такая угроза есть, ведь какой подарок, взять вроде никому не нужный аппаратик и получить данные почти по всей документации вплоть до копии алфавита арабского секретарши Любы откопированной с конспекта знакомого по учебе, для своей племянницы :-).
За опции криптозащиты, уничтожения данных по требованию и прочие опции ограничения доступа у нас 99,99% не готовы платить, из тех кто готов и даже оплатил, 99,99% не умеет ими пользоваться... Веселых ситуаций вокруг этого полно. Нам сдают на ремонт МФУ, в которых мы находим такое... Например не первый раз в аппарате находим стандартное письмо то одного, то другого предприятия, требующее от сотовой компании предоставить полную расшифровку телефонных переговоров с определенных корпоративных номеров за определенный период - имейте в виду, господа... В общем все это секреты Полишинеля...