Специальные проверочные мероприятия (Игорь Чернов, Директор ТОО «Informsecurity)

zakon.kz, фото - Новости Zakon.kz от 11.04.2016 19:45 Фото: zakon.kz

Специальные проверочные мероприятия

 

Игорь Чернов,

Директор ТОО «Informsecurity»

 

Всегда держись начеку.

Козьма Прутков.

 

Для начала расскажу одну историю.

Пару лет назад пригласили меня для консультации в одну довольно крупную компанию. Я приехал, встретился с руководителем, и он рассказал мне такую историю. Пригласили они неких ребят для проведения проверки кабинетов на наличие «жучков». Проверяли пять кабинетов. Ребята за час управились, в пятом кабинете нашли «жучок», получили причитающееся небольшое вознаграждение и большой бонус за обнаруженное устройство и убыли восвояси. Найденного «жучка», естественно, увезли с собой. Но, говорит мне руководитель этой компании, меня терзают смутные сомнения. Я поставил себя на место тех, кто установил «жучок» в кабинете (очень правильная мысль). Они же хотели получить какую-то информацию. А вот тут и не сходится. Дело в том, что в том кабинете, в котором нашли «жучок» такая информация не циркулировала никогда. Человек, который сидит в этом кабинете хоть и занимает должность заместителя Генерального директора, фактически является завхозом. Он мой родственник, поэтому у него такая высокая должность. И задачи у него - чтобы туалеты были чистыми, чтобы территорию дворники убирали, чтобы лампочки горели и чтобы бордюры регулярно белились, а заборы красились. Он конечно знает чем занимается компания, но он абсолютно не в курсе конкретных дел, его даже на важные совещания не приглашают. И вот что хотели знать те люди, которые ставили «жучка» в его кабинет? Сколько мой офис в месяц тратит туалетной бумаги (цитирую дословно)? Смешно. Получается что не было никакого смысла устанавливать такое устройство в его кабинете. Но из этого выходит, что те ребята, которые делали проверку, на самом деле её не делали, а только искали возможность «найти» то, что принесли в кармане для того, чтобы получить бонус. Это подтверждается и тем, что когда они обследовали первые четыре кабинета, за ними следили наши сотрудники службы безопасности, а когда они искали в пятом кабинете, за ними уже никто не смотрел. А вот теперь, говорит мне этот руководитель компании, переходим к консультации. Дело в том, что мы совсем не от нечего делать заказали проверку. У нашей компании была очень серьёзная проблема. И в этих четырёх кабинетах обсуждались пути решения этой проблемы, проводились встречи с людьми и другие мероприятия. И если то, о чём говорилось в этих кабинетах, попало не в те уши, то проблемы наши увеличатся многократно и даже может встать вопрос о прекращении существования компании. Что вы нам посоветуете в такой ситуации? Я не стал умничать, посоветовал им сходить в мечеть и в церковь, помолиться и надеяться на лучшее. Денег, к слову, с них не взял.

Итак, специальные проверки помещений. На сегодняшний день это самый распространённый и самый действенный способ предотвратить утечку информации, организуемую с помощью «жучков». Однако несмотря на то, что почти никто не сомневается в необходимости проведения таких мероприятий, мало кто знает как это должно делаться. Не в смысле тонкостей процесса поиска, это оставьте профессионалам, а в плане общей организации поисковых мероприятий. И на что в первую очередь надо обращать внимание, когда вы пригласили специалистов «почистить» ваш кабинет. При этом совсем не важно, легальная ли это компания, имеющая гос. лицензию на этот вид деятельности, или это просто какие-то ребята, подрабатывающие проверками помещений в свободное время. Правила для всех одинаковы. О них и поговорим.

При планировании и организации проведения проверочных мероприятий в своих помещениях вы обязательно в той или иной степени столкнётесь с тремя категориями проблем.

Категория первая - организационные проблемы.

Типичные ошибки для этой категории. Ошибка первая и самая распространённая. Очень многие ошибочно понимают главную задачу таких проверок. Задача специальной проверки состоит совсем не в том, чтобы найти «жучок». Именно на этом и играют множество ребят, работающих по принципу: мало денег за проверку, но много за найденный «жучок». Поэтому они всегда их и находят. Те, которые приносят в собственных карманах. На самом деле главная задача - получить после проверки «чистый» кабинет, в котором можно свободно обмениваться информацией не опасаясь за то, что она попадёт не в те уши. Ошибка вторая. Мероприятия проводятся либо хаотично и бессистемно, либо по итогам свершившегося факта. То есть подтверждается постулат о том, что многие начинают что-то делать только тогда, когда в некую часть их тела клюнет жареный петух. Толку от таких мероприятий как правило нет. Третья довольно распространённая ошибка. О планируемом проверочном мероприятии знает большое число сотрудников. В результате происходит утечка информации и технику просто на время изымают. Данная ошибка весьма характерна для крупных компаний, в которых договор на проведение проверочных мероприятий проходит кучу согласований в различных подразделениях - отделе маркетинга, бухгалтерии, юридическом отделе, прочее.

Перейдём непосредственно к проверке. Это мероприятие всегда состоит из определённых этапов, назовём их поисковыми процедурами. Перечислим их.

1. Проверка радиоканала на наличие «жуков» работающих в аналоговом режиме.

2. Проверка радиоканала на наличие «жуков» работающих в цифровом режиме.

3. Проверка радиоканала на наличие «жуков», использующих известные распространённые протоколы, такие как GSM, Wi-Fi и прочие.

4. Проверка сети питания на наличие устройств передачи информации, использующих такие сети.

5. Проверка всех слаботочных цепей (линии телефонной связи, охранной и пожарной сигнализации, прочее) в режиме низкочастотных сигналов.

6. Проверка всех слаботочных цепей (линии телефонной связи, охранной и пожарной сигнализации, прочее) в режиме высокочастотных сигналов.

7. Поиск скрытых видеокамер.

8. Поиск источников низкочастотного электромагнитного излучения.

9. Поиск полупроводниковых переходов нелинейным локатором.

10. Проверка источников теплового излучения.

11. Визуальный осмотр.

Примечание. Здесь указан только минимально необходимый перечень процедур. При необходимости, обусловленной подозрением на наличие в помещении сложных высокотехнологичных изделий, количество процедур может быть существенно увеличено.

Зачем такие сложности, спросите вы? А я скажу. Применением такого количества процедур достигается решение двух задач. Задача первая - поиск устройств, создающих каналы утечки информации различных типов и в различных средах. И задача вторая. О ней стоит сказать отдельно. Как вы думаете, над чем в основном работают умники в компаниях, разрабатывающих и производящих технику негласного съёма информации? Думаете над увеличением дальности действия «жучков»? Или над уменьшением их размеров? А вот и нет. Не спорю, работы над этими задачами ведутся, но это не основные разработки таких компаний. Дело в том, что по этим вопросам всё, что могло быть изобретено, уже изобретено, и каких-то прорывов в этих вопросах в ближайшее время ждать не приходится. А работают они в основном над вопросом маскировки «жучков». Изобретают новые способы передачи информации или новые принципы работы таких изделий. И эти способы и принципы должны воспрепятствовать обнаружению «жучка» при проведении специальных проверок. Это актуально в наше время, когда любую поисковую технику может свободно приобрести кто угодно. Их много, этих способов и принципов. Я их здесь перечислять не буду, о некоторых способах маскировки можно прочитать в интернете, о некоторых способах знать всем пока не положено. Как я уже писал раньше, двадцать лет назад «жучок» с маскировкой передачи информации был для нашей страны чем-то экзотическим. Сейчас же такой тип «жучков» является основным для применения. И их просто физически невозможно найти, например, китайским сканером, который почему-то считается у многих основным поисковым устройством. Так вот. Такое количество поисковых процедур необходимо ещё и для того, чтобы гарантировано найти такие устройства. Это и есть вторая задача.

Ещё одна организационная проблема. Это периодичность проверок. Необходимо сказать, что сам по себе разовый поиск практически не дает реальных результатов. Даже в случае обнаружения «жука» вопросов возникает больше, чем ответов. Проверка имеет смысл только в том случае, если она является одним из звеньев общего плана мероприятий, организационных и технических, направленных на предотвращение утечки информации. Так что проверяться нужно регулярно. Как регулярно? Это зависит от многих вещей. От этого общего плана мероприятий. От активности конкурентов. От участия компании в госпрограммах. От наличия и активности судебных тяжб, в которые вовлечена компания. И так далее. Как пример показателен в этом плане разговор, состоявшийся у меня с одним функционером Службы безопасности одного из наших банков. Когда я сказал ему, что необходимы регулярные проверки, он спросил меня - в чём их смысл? Тогда я его спросил - сколько раз за последний год их банк грабили? Слава Аллаху ни разу - ответил он. А сколько раз в банк пытались пронести оружие, наркотики, взрывчатку - спросил я? Тоже ни разу - был его ответ. Тогда получается что вы целый год напрасно тратили огромные деньги на охрану твоего банка, всех его отделений и кассовых центров - сказал я. А не лучше ли было бы нанять охрану, например, на неделю, именно на ту, когда планируется ограбление банка - спросил я? Вы бы сэкономили кучу денег. Это было бы прекрасно - ответил он. Но есть проблема. Мы же не знаем точно, когда кто-то запланирует ограбить наш банк. Поэтому мы и вынуждены содержать постоянную охрану и действительно платить за это большие деньги. Тогда я спросил его - то есть из этого следует, что ты всегда точно знаешь когда против твоего банка будут некими недоброжелателями предприняты недружественные действия, и в ходе этих действий для получения нужной информации будет применена техника негласного съёма информации? Или всё-таки не всегда знаешь? Вопрос, как говорится, риторический.

 

И устрица имеет врагов!

Козьма Прутков. Афоризмы.

 

Вторая категория проблем - технические проблемы.

Типичная ошибка для данной проблемы. В нынешнее время поиск и локализация «жучков» невозможны без применения поисковой техники. И наличие такой техники зачастую принимается за некую гарантию успешности проведения специальных поисковых мероприятий. При этом почему-то никто не обращает внимания на то, какую именно технику применяют для поиска приглашённые специалисты. Это огромное заблуждение. В природе не существует такой поисковой техники, которая будучи включенной в помещении выдаст примерно следующее: «в вашем кабинете установлен «жучок», он находится в верхнем ящике стола, установили его Васька Хромой и Берик Кривой по заказу Хаима Одноглазого». Скажу более страшную вещь. В природе вообще не существует поисковой техники, которая ищет «жучки» (выделено мной). К сожалению, несмотря на то что подавляющее большинство людей думает иначе, это правда. Как же так, спросите вы? А что же тогда ищет поисковая техника? Я отвечу. Любая поисковая техника ищет только признаки применения «жучков». В чём разница? Объясню на примере. Существует большое количество неплохих поисковых приборов, определяющих наличие в помещении GSM сигналов. Но в мире нет ни одного прибора, который сможет ответить на вопрос - работает ли в помещении GSM закладка, или это где-то рядом в соседнем кабинете (кабинете напротив, этажом выше или ниже) какая-нибудь девушка рассказывает по телефону своей подружке о вчерашнем свидании. Это должен установить специалист, получив от поисковой техники признак возможной установки GSM закладки, а именно информацию о наличии GSM сигнала. Или другой пример. Для определения замаскированных видеокамер я пользуюсь очень хорошим и дорогим лазерным бликовым прибором. Так вот, этот прибор, как бы он ни был хорош, не в состоянии определить, даёт ли блик объектив замаскированной видеокамеры или этот блик обусловлен какой-то абсолютно безобидной деталью какого-нибудь предмета интерьера. А такое случается довольно часто. Прибор даёт только блик, то есть признак возможного применения замаскированной видеокамеры. А всё остальное приходится делать своими руками. А теперь представьте себе на минутку, сколько в нашем городе имеется, например, радиоизлучающих устройств. Их миллионы. Одних сотовых телефонов сколько. А сколько станций сотовой связи. Прибавьте сюда Wi-Fi роутеры. Прибавьте возимые и носимые радиостанции. Прибавьте различные передатчики, которых тоже немало. Прибавьте ещё множество излучающих приборов, о которых вы даже не догадываетесь. И представьте себе как сложно обнаружить маломощную закладку среди всей этой какофонии. Тем более что характеристик излучения и способа маскировки излучения этой закладки вы заведомо не знаете. Здесь без поисковой техники действительно не обойтись. Но эта техника никогда не обнаружит эту закладку. А только признаки её работы. А исследовать эти признаки и найти саму закладку - задача человека, который эту технику использует. И получается что техника - не более чем инструмент. С которым, как и с любым другим инструментом, надо уметь работать.

Ещё одна техническая проблема. Она вытекает из количества поисковых процедур, выполняемых при проведении специальной проверки. Дело в том, что ни одним в мире предприятием производящим поисковую технику не выпускается универсальный прибор, позволяющий выполнить все эти процедуры. То есть для выполнения разных процедур требуются разные приборы. При этом да, существует многофункциональная поисковая техника, с помощью которой можно выполнить несколько процедур. Несколько, но не все. Именно поэтому минимальный набор, с помощью которого можно провести полноценную специальную проверку состоит из трёх устройств (я использую шесть). Это многофункциональный поисковый прибор, нелинейный локатор и тепловизионный прибор. Повторюсь. Неважно кто придёт к вам выполнять специальные проверочные мероприятия. Представитель компании, имеющей государственную лицензию на это вид деятельности, или свободный специалист. Но если у него не окажется этого минимума приборов - можете смело гнать его в шею. Хотя решать, конечно, вам.

Третья категория проблем - тот самый пресловутый человеческий фактор. Поиск и локализация «жучков» - дорогое удовольствие. И, что вполне естественно, есть достаточно желающих «по лёгкому нарубить капусты». Тем более что заказчик, как правило, понятия не имеет как данное мероприятие должно проводиться, и обмануть его проще простого. На что же обратить внимание, чтобы не оказаться в длинном списке обманутых? Не пытайтесь самостоятельно определить количество поисковых процедур, выполняемых специалистом проводящим проверку, и оценить качество их проведения. Для того чтобы это сделать необходимо быть профессионалом, и сделать это вам скорее всего не удастся. Но сосчитать количество используемых при проверке поисковых приборов вам вполне по силам. Можно также узнать их названия (они есть на подавляющем большинстве поисковых приборов) и просто уточнить в интернете что это за приборы, их характеристики и для чего они предназначены. Есть и ещё один момент, на который необходимо обратить внимание. Это время проведения проверки. Проверка помещения - сложное организационно-техническое мероприятие. Это длительная и кропотливая работа. Физически невозможно проверить помещение, то есть исполнить одиннадцать поисковых процедур за 15-20 минут. На это уходит гораздо больше времени. Причем все это время специалист должен именно работать, а не с умным видом прохаживаться по помещению.

И в заключение отвечу на вопрос, который очень часто возникает. Что делать, если вы случайно или не случайно обнаружили в офисе или дома «жучка»? Сначала - чего делать не надо. Никогда и ни при каких обстоятельствах не отдавайте никому найденного «жучка». Что бы вам ни говорили. Постарайтесь найти независимого специалиста и определить тип этого «жучка» и его характеристики. И является ли то, что нашли в вашем кабинете «жучком». Мне уже несколько раз приносили на исследование найденных «жучков». Во всех случаях это были топорно изготовленные муляжи. Теперь к вопросу о том, что делать. На самом деле вариантов всего два - снять его или оставить. И оба эти варианта имеют как свои положительные так и отрицательные стороны. В первом случае вы прекращаете утечку информации, что само по себе уже неплохо. Но остаётся много невыясненных вопросов, прежде всего - кто и по чьему заказу его установил. Кроме того вы не застрахованы от установки нового изделия, уже с учетом ошибок, которые привели к обнаружению первого. Во втором случае можно попытаться выяснить каким путём «жук» к вам попал, и использовать его во вред противной стороне, например, дезинформируя ее. Но это очень тонкая игра, и справиться с ней не так просто. Можно навредить самому себе. Впрочем, это уже совсем другая история.

Берегите себя.

 

zkadm
Поделиться новостью
Следите за новостями zakon.kz в:
Если вы видите данное сообщение, значит возникли проблемы с работой системы комментариев. Возможно у вас отключен JavaScript
Сообщите об ошибке на странице
Ошибка в тексте: