Michał Potocki, "DGP": Nasi szefowie coraz częściej podglądają nasze e-maile w trosce o to, byśmy nie wynosili z firm poufnych informacji. Jak to działa?

Rik Ferguson*: Firmy coraz częściej inwestują w oprogramowanie DLP (Data Loss Prevention, ochrona przed wyciekami informacji – red.), które wystarczy odpowiednio skonfigurować. Są trzy metody walki z wyciekami. Najprostsza to wyszukiwanie konkretnych fraz w e-mailach. Filtruje się wiadomości po kontem słów typu „poufne”, „do użytku wewnętrznego” czy „między nami mówiąc”. Taką listę najłatwiej skonfigurować, ale jest ona najbardziej zawodna. Programy typują mnóstwo fałszywych wskazań, bo przecież tego typu terminów możemy używać w codziennej, niewinnej komunikacji z klientami czy kolegami z pracy. Najprostsze programy nie są w stanie ocenić kontekstu.

A te bardziej skomplikowane?

Można je tego nauczyć, tyle że proces konfiguracji systemu zajmuje dużo więcej czasu. Prosty przykład: jeśli mamy słowo „banan”, po czym w odstępie 20 znaków słowo „małpa” i w podobnej odległości „zoo”, wiemy, że pierwszy z tych wyrazów nie wystąpił przypadkowo. Można zbudować ileś tego typu warstw związanych z branżą, w której działamy, tak aby system ignorował użycie „zakazanych” słów w niewinnym kontekście.

Na tym etapie nie wystarczy już zakup programu, trzeba jeszcze zatrudnić ludzi.

Kupno software’u to pierwszy etap. Najważniejsze jest jego właściwe skonfigurowanie oraz zorientowanie się, o jakie informacje musimy się szczególnie zatroszczyć, a wyciek których możemy zignorować. Następnie musimy przyjrzeć się obiegowi informacji, np. czy sekretarka ordynatora nie przesyła czasami danych pacjentów na swój domowy adres e-mailowy. Jeśli przesyła – trzeba się sprawie przyjrzeć. Po dokonaniu takiej oceny zagrożeń mniej więcej wiemy już, jaki system DLP musimy zastosować w danej firmie.

Mówił pan o trzech metodach. Jaka jest ta druga?

Wyszukiwanie określonych wyrażeń. To świetny sposób na pilnowanie danych o regularnej strukturze. Możemy nie wiedzieć, co nam może wyciec, ale mniej więcej wiemy, jak by to wyglądało.

To znaczy?

Na przykład adresy, jeśli akurat one są danymi wrażliwymi. Większość adresów w języku polskim zaczyna się od skrótu „ul.”, „pl.” czy „al.”. Potem następuje nazwa ulicy i liczba będąca numerem domu. Następnie mamy kod pocztowy o stałej budowie i nazwę miejscowości. Wystarczy więc ułożyć odpowiedni algorytm. Jeden ze skrótów + nazwa + liczba. Dwie cyfry + myślnik + trzy cyfry + nazwa miasta z bazy danych wszystkich miejscowości w kraju. Wówczas program automatycznie wykryje sytuacje, w których ktoś usiłuje przesłać adres albo ich zbiór. Można to skonfigurować głębiej: jeśli program znajdzie wyizolowany kod pocztowy, nic się nie dzieje. Jeśli jednak znajdzie adres z imieniem i nazwiskiem, to już informacja wrażliwa. Jeśli znajdzie adres, nazwisko i wyznawaną religię – prawie na pewno coś jest nie tak. Jeden numer karty kredytowej jest w porządku, pięć numerów wywołuje alarm w systemie, dwadzieścia prowadzi do zablokowania konkretnego e-maila.

I numer trzy...

Najbardziej skomplikowanym sposobem jest poszukiwanie danych niestrukturalnych na podstawie czegoś na kształt ich odcisków palców. Bierzemy serwer i uczymy maszynę: tu trzymamy dane finansowe, tu osobowe. Następnie je normalizujemy. Dokument w formacie .doc otworzony w notatniku wygląda jak zbiór krzaczków. Dokument .jpg także, ale jednak innych. Po znormalizowaniu dokumentów znamy ich stałe elementy, wyszukujemy statystycznie istotne ciągi znaków, po czym tworzymy z nich próbkę – to „odcisk palca”. Potem takie próbki są porównywane z dokumentami przesyłanymi pocztą elektroniczną. Brzmi dość skomplikowanie i takie jest. Ale może wykryć dany dokument, nawet jeśli nie prześlemy go w formie załącznika, ale jedynie wkleimy jego treść do e-maila.

Wszystko to brzmi jak dobra osłona przeciwko pojedynczym pracownikom. Wielkie siatki szpiegowskie zapewne potrafią obejść tego typu zabezpieczenia.

Jeśli jakieś państwo naśle na naszą firmę szpiegów, możemy być pewni, że w końcu zdobędą to, o co nam chodzi. W takim przypadku najważniejsze byśmy się dowiedzieli, że taki przeciek w ogóle miał miejsce. Czasem nie ma sensu próbować go powstrzymać, to po prostu za drogie. Ale można złagodzić skutki przecieku – finansowe albo wizerunkowe.

Podejrzewam, że większość przypadków nie dotyczy jednak szpiegów pracujących dla państw, ale dla konkurencji.

Tak, ale konkurenci nie wprowadzają do naszych firm swoich ludzi, a raczej próbują podkupić pracowników już dla nas pracujących. Trzeba maksymalnie utrudnić zadanie, by kradzież informacji wymagała tak dużo czasu, że w końcu aktywność konkretnego pracownika stanie się podejrzana. Jeśli zaczniemy chodzić między komputerami kolegów i z każdego coś przekopiujemy na pamięć przenośną, ktoś to w końcu zauważy. Można skonfigurować program DLP tak, by blokował wyjście podejrzanego e-maila na zewnątrz. Podobnie, jeśli ktoś przesyła dane na obcą stronę internetową. To samo dotyczy ich zgrywania na USB, płytę CD, iPoda, przesyłania na drukarki albo przeklejania treści dokumentów na Skypie czy czacie na Facebooku. W wielu firmach przed wejściem do pomieszczenia z bazą danych trzeba oddać do depozytu komórkę, w końcu każda ma dziś kamerę, na którą można nagrać dane z ekranu komputera albo hasło wpisywane z klawiatury. To samo dzieje się z iPodami. Mój ma 160 GB pojemności. Można by na niego zgrać całą bazę danych niejednej firmy, udając że słucha się z niego muzyki. Warto więc śledzić także ruch lokalny. Im bardziej utrudnimy proces zgrania danych przez osobę niepowołaną, tym łatwiej będzie to namierzyć.

Brzmi jak totalna inwigilacja. Można sobie wyobrazić, że większość ludzi nie ma złych zamiarów, zgrywając jakiś dokument na USB.

To prawda, ale niekoniecznie każda taka wykryta operacja musi się wiązać z konsekwencjami dla winowajcy. Można tak ustawić system, by w takim przypadku wyświetlił na komputerze sprawcy przypomnienie, że powinien się zastanowić nad swoim postępowaniem. Dzięki temu nie tylko uczy się pracowników niepopełniania takich błędów, ale i ostrzega potencjalnych szpiegów przemysłowych, że ich ruchy są śledzone.

Jak duże są koszty wyposażenia firmy, która dysponuje powiedzmy siecią stu komputerów, w kompleksowe oprogramowanie DLP?

Oprogramowanie to równowartość 3 tys. zł, ale trzeba doliczyć koszt zatrudnienia pracowników. Trzeba więc ocenić, jak często może dochodzić do przecieków, czy w razie zaistnienia wycieku będziemy musieli wstrzymać produkcję, jeśli tak, na jak długo itd. Na koniec może się okazać, że utrzymanie systemu jest droższe niż ewentualne koszty wycieku informacji.

Przyszedł czas na podanie jakiegoś przykładu dużego wycieku danych, któremu dałoby się zapobiec...

Kara 250 tys. funtów (1,25 mln zł – red.) nałożona przez brytyjski sąd na korporację Sony za doprowadzenie do wycieku danych osobowych i numerów kart kredytowych 77 mln użytkowników PlayStation Network. Sony zaoszczędziło na ochronie i w rezultacie nie dość, że straciło wizerunkowo, to jeszcze na wiele dni musiało wyłączyć całą usługę. To z pewnością kosztowało fortunę.

Na czym polegał ich błąd?

Po pierwsze, na nieaktualnym oprogramowaniu serwerów. Po drugie, na niezakodowaniu danych klientów. W takim przypadku żadne DLP nie pomoże. Równie dobrze moglibyśmy zgubić firmowego laptopa w autobusie. Był przypadek funkcjonariusza FBI, który zgubił USB z danymi swoich informatorów.

Jak wygląda proces oceny, jakie konkretnie rozwiązania są potrzebne dla danej firmy?

Niedawno robiłem tego typu ocenę dla brytyjskiego szpitala z dużego miasta będącego jednocześnie placówką badawczą. Dwa tygodnie szukaliśmy wycieków informacji zawierających numery ubezpieczeń, kody określonych zabiegów i chorób, numery kart kredytowych, dane adresowe. Na pięciu badanych komputerach odnaleźliśmy ślady zgrania na zewnętrzną stronę internetową danych osobowych 45 osób łącznie z informacjami o przebiegu ich chorób. Strona należała do placówki badawczej połączonej ze szpitalem, więc można by to uznać za niezbyt poważne naruszenie, gdyby nie zawierały danych pozwalających zidentyfikować konkretnych pacjentów. Do tego liczne przypadki zgrywania danych na USB czy przesyłania na prywatne konta e-mailowe CV i rezultatów prowadzonych badań. A także numery lekarskich pagerów. Ich ujawnienie może ułatwić atak DDoS, czyli inicjowanie połączeń, które w konsekwencji blokują urządzenie. W większości wystarczyłoby pewnie pouczenie pracowników o tym, że tego typu działalność może być niebezpieczna.

Jest jeszcze kwestia tajemnicy korespondencji. Identyfikacja przesyłanych dokumentów wygląda w porządku, ale przeszukiwanie każdego przesyłanego e-maila może budzić wątpliwości.

W Wielkiej Brytanii czy Niemczech należy uzyskać zgodę pracownika na monitorowanie ich pracy. Zwłaszcza jeśli wiąże się to z daniem informatykom uprawnienia podglądania w dowolnej chwili pulpitu każdego z komputerów.

Jak dużo firm korzysta z oprogramowania DLP?

Niewiele. Rozmawiałem z przedstawicielem jednego z czterech największych banków na Wyspach Brytyjskich. Powiedział mi: wiemy, co mamy, ale nie wiemy, gdzie. Koszty identyfikacji tego, co i gdzie mamy, i uporządkowania tych danych w przypadku banku o zasięgu globalnym są bardzo wysokie. Ale to się powoli zmienia. Największe firmy komputerowe przed kilkoma laty zmieniły podejście do sprawy DLP i zaczęły kupować małe przedsiębiorstwa, które się tym zajmują. Niekoniecznie trzeba tworzyć do tego oddzielny program, można np. rozszerzyć o funkcję DLP zwykłego antywirusa.

Jeśli dojdzie do wycieku, kto się o tym dowiaduje?

Administrator sieci dostaje informację, że na danym komputerze zaszła podejrzana czynność. I wtedy może to sprawdzić i zareagować zgodnie z ustalonymi zawczasu procedurami.

Podobny pomysł stosują rządy dla filtrowania e-maili pod kątem wyszukiwania treści ekstremistycznych.

Brytyjskie agendy rządowe sprawdzają każdy e-mail, każdą rozmowę telefoniczną i każdego SMS-a. To tajemnica poliszynela.

A czy firmy też mogą poszerzyć kontrolę o SMS-y?

Technicznie to możliwe, wystarczy połączyć służbowe komórki do wspólnej, należącej do firmy bramki wychodzącej. Ale nie znam żadnej firmy, która by się na to zdecydowała.

Wszystko to, o czym rozmawiamy, nie dotyczy raczej ochrony przed zorganizowanymi grupami pracującymi np. dla obcych rządów.

Nie, szpiedzy działają raczej w sposób zdalny, włamując się na komputery z zewnątrz. Wiadomo, że jako Zachód wysłaliśmy takie oprogramowanie, by śledziło postępy programu atomowego Iranu. Niektóre podobne programy są bardzo skomplikowane. Flame potrafił się np. podszyć pod Microsoft. Komputer informował nas, że aktualizuje system operacyjny Windows, tymczasem w rzeczywistości komunikował się z serwerem zewnętrznym. Flame potrafił np. przeszukać serwery pod kątem plików .jpg, czyli wykraść wszystkie zdjęcia – niektóre wyposażone w koordynaty GPS, pozwalające na określenie miejsca wykonania fotografii. Dla obcego wywiadu działającego na Bliskim Wschodzie to prawdziwa gratka.

I z tego typu problemem zwykły antywirus sobie nie poradzi.

Większość najbardziej skomplikowanych robaków została wykryta podczas szukania czegoś innego. Coś znajdywaliśmy, po czym okazywało się, że jest to coś o wiele bardziej złowrogiego, niż mogłoby się wydawać. Na szczęście przemysł IT ciągle się uczy. Odeszliśmy od podejścia ściśle technicznego, oderwanego od ludzkiej psychiki. Dziś skupiamy się przede wszystkim na uniemożliwieniu wydostania się danych wrażliwych na zewnątrz. A gdy przyjdzie co do czego – szybkim poinformowaniu o zdarzeniu administratora sieci. W tym kontekście ciekawe dane opublikował w ubiegłorocznym raporcie Verizon. Włamanie się na dany komputer zajmuje zazwyczaj minuty, odnalezienie przez intruza potrzebnych danych – minuty, godziny lub dni. Odkrycie włamania w 54 proc. liczone jest już w miesiącach. Od tego momentu do chwili zablokowania intruza mijają kolejne dni lub tygodnie. Przez wiele miesięcy ma dostęp do sieci firmowej, a firma nic z tym nie może zrobić. Dla firmy ważne jest zatem nie tyle zablokowanie możliwości ataku, ile szybkie pozbycie się intruza i załagodzenie kosztów jego aktywności.

*Rik Ferguson - dyrektor ds. badań nad bezpieczeństwem i komunikacji na Europę, Bliski Wschód i Afrykę w firmie Trend Micro