Ценность данных часто описывают фразой «Кто владеет информацией, тот владеет миром». Небрежное обращение с данными открывает доступ злоумышленникам к вашим секретам и способно привести к потере денег и репутации. Можно ли обезопасить себя и свою организацию от действий третьих лиц, и какие технические средства стоит выбрать для этой задачи в наше время? В этой статье мы попробуем разобраться как лучше защищать данные, стоит ли доверять парольной защите, насколько безопасны офисные программы для работы с документами, что такое СКЗИ и почему стоит применять российскую криптографию.

Какие технологии защиты данных применяются в офисном ПО


Современное программное обеспечение для работы с документами, будь то российское или иностранное, как правило, содержит собственные механизмы и инструменты защиты данных.

Лет 20-30 назад, когда документы готовились в основном локально, сотрудники организаций устанавливали пароли на сами файлы прямо в офисном ПО, поскольку существовало устойчивое убеждение, что таким способом можно избежать доступа третьих лиц к содержимому документов. Но любой пароль де-факто становится скомпрометирован ровно в тот момент, когда его передают кому-то ещё. Без этого не обойтись, если с документом, защищенным паролем, будут работать несколько человек.

В сегодняшних реалиях такой метод не обеспечивает должного уровня конфиденциальности и относительно легко взламывается: либо последовательным перебором паролей, либо — используя уязвимости слабых криптографических алгоритмов.

Специалисты в области информационной безопасности полагают, что наиболее эффективной является эшелонированная защита данных — использование множества мер для предотвращения доступа третьих лиц к информации. В основе концепции лежит идея создания нескольких уровней защиты — даже если угрозы пройдут одну линию обороны, то для их остановки будут задействованы другие средства безопасности. Это позволяет значительно снизить риски потери данных.

Такая концепция требует от производителей офисного программного обеспечения предусмотреть возможности применения специализированных программных и программно-аппаратных средств. Их можно использовать как отдельно, так и вместе с офисными приложениями. Набор возможных функций безопасности разнится в зависимости от потребностей пользователей и, как правило, определяется при проектировании информационной системы. Для этого требуется тщательный анализ бизнес-процессов заказчика, только так можно построить наиболее эффективные механизмы защиты.

Какие тренды влияют на офисный документооборот


С каждым годом в любой организации стремительно растет число документов, с которыми работают сотрудники. В среднем объем таких документов уже измеряется сотнями гигабайт — одним лишь хранением их на общем файловом сервере уже не обойтись.

Целесообразно реализовать движение документов в организации через систему электронного документооборота. В этом случае конфиденциальность информации обеспечивается средствами защиты самой системы электронного документооборота. Но поскольку пользователям также требуется часто работать с документами в частном облаке или через электронную почту, то в ИТ-системах следует предусмотреть поддержку современных средств информационной безопасности.

В то же время за долгие годы во многих организациях были накоплены большие объемы документов с парольной защитой, поэтому разработчики программных продуктов всё ещё вынуждены обеспечивать поддержку и таких механизмов для обратной совместимости. И что самое удивительное, пароли до сих пор предпочитают многие пользователи, которые защищают ими даже новые документы.

Защита данных с помощью асимметричной криптографии


Современной альтернативой паролям является применение криптографии с открытым ключом. Это наиболее безопасный способ защиты данных, который набирает все большую популярность среди производителей программного обеспечения и эксплуатантов информационных систем.
Технология предполагает наличие у каждого участника взаимодействия ключевой пары — «публичного» и «секретного» ключей. «Публичный» (или «открытый») ключ нужен для отправки файлов или сообщений электронной почты конкретному получателю. «Секретный» (или «закрытый») ключ — для их расшифровки получателем.

Подтверждение авторства данных с помощью асимметричной криптографии


Такой же принцип лежит и в основе электронной подписи, которая позволяет подтвердить авторство документов и неизменность данных при их передаче. В этом случае «секретный» ключ отправителя используется для «подписи» отправляемых данных. Получатель с помощью имеющегося у него «открытого» ключа отправителя может проверить, что отправитель действительно тот, за кого себя выдает, и при передаче данные не были изменены.

В России использование электронной подписи регулируется №63-ФЗ «Об электронной подписи». Электронная подпись данных, которая выполняется в соответствии с требованиями законодательства, придает документам юридическую значимость.

Виды электронной подписи


Существует два вида электронной подписи. Простая электронная подпись предполагает доступ какого-либо лица к данным и сервисам с использованием кодов, паролей или иных подобных средств. Усиленная электронная подпись обладает более широким набором свойств:

  • электронная подпись получена в результате криптографического преобразования информации с использованием ключа;
  • позволяет однозначно определить лицо, подписавшее электронный документ;
  • позволяет обнаружить факт внесения изменений в электронный документ после его подписания;
  • создаётся с использованием средств электронной подписи.


При этом важно различать усиленную неквалифицированную и усиленную квалифицированную электронную подпись (КЭП). Усиленная квалифицированная электронная подпись помимо всех признаков усиленной неквалифицированной содержит ещё и дополнительные свойства:

  • ключ проверки электронной подписи указан в квалифицированном сертификате;
  • для создания и проверки электронной подписи используются средства, которые соответствуют требованиям упомянутого выше №63-ФЗ.

Усиленная квалифицированная электронная подпись может использоваться не только в корпоративных информационных системах, но и служит средством идентификации и аутентификации в государственных информационных системах. Например, КЭП применяется на порталах государственных услуг, закупок или реализации имущества.

Таблица ниже позволит нагляднее разобраться в типах и свойствах электронной подписи.



На практике это означает следующее — если организации требуется обеспечить юридическую значимость документов, то следует выбирать программное обеспечение с поддержкой ключей электронной подписи, в том числе и квалифицированной электронной подписи, которую выдает аккредитованный удостоверяющий центр.

Применение российских криптоалгоритмов позволяет добиться юридической значимости коммуникаций в соответствии с действующим законодательством, повысить защищенность каналов связи и способствует снижению рисков несанкционированного доступа к конфиденциальной информации. Например, в продуктах МойОфис можно использовать электронную подпись и шифрование сообщений электронной почты, а также защиту каналов связи с помощью средств российской криптографии.

Чек-лист «Безопасна ли работа с документами в вашей организации?»


Ниже расположена небольшая анкета, которая поможет оценить готовность вашего предприятия к переходу на безопасную работу с документами. Руководствуясь анкетой вы получите понимание текущей ситуации и определите направления дальнейшего развития корпоративной инфраструктуры.

Анкета состоит из 14 простых вопросов, ответить на которые можно либо утвердительно, либо отрицательно.



Преобладание ответов «Да» над ответами «Нет» показывает степень готовности организации к вызовам информационной безопасности.

А вы способны изменить подход организации к работе с документами?


Если вы честно отвечали и поняли, что на 14 вопросов дали не более 5 положительных ответов, то организация может находиться под серьезной угрозой. Конечно, надежно защитить данные поможет только комплексный подход к информационной безопасности. Но в то же время существует необходимый гигиенический минимум, который позволяет кардинально снизить риски утечки критически важных данных. При создании и эксплуатации любой информационной системы необходимо продумывать меры безопасности на всех уровнях. Рассчитывать же лишь на один пароль для защиты документов довольно опрометчиво.

Начните с малого — расскажите сотрудникам о современных подходах к информационной безопасности и средствах защиты информации, откажитесь от публичных облаков и организуйте частное облако в подконтрольной инфраструктуре. Такое облако может быть в собственности, управлении и обслуживании у самой организации либо у доверенной стороны, а также может располагаться как на территории предприятия, так и за его пределами.

Следующим шагом, который приведет к повышению компьютерной грамотности персонала и, как следствие, к снижению рисков утечки данных, станет переход на использование прикладного программного обеспечения с поддержкой квалифицированной электронной подписи, уровень криптографической стойкости которой находится принципиально на другом уровне.

Комментарии (6)


  1. AlexVWill
    18.01.2022 11:38
    +3

    "Применение российских криптоалгоритмов позволяет добиться юридической значимости коммуникаций в соответствии с действующим законодательством, повысить защищенность каналов связи и способствует снижению рисков несанкционированного доступа к конфиденциальной информации. " да-да, слышали, протокол шифрования "Кузнечик" с бэкдором в значениях S-блока и хэш-функций...


    1. NTDLL
      18.01.2022 18:58
      +1

      А как же тогда брать под контроль личную жизнь граждан? Для этого есть бэкдоры в гос. алгоритмах. Только вот... Во всех современных процессорах (или почти всех) есть железная поддержка АЕС (Интел к примеру). Как с этим бороться? Придумывать отечественные Эльбрусы и призывать (а скорее всего принуждать, этим вряд ли проблему в целом можно вылечить) переходить на них. Повсеместно. А потом придумывать велосипед совместимое ПО, вместо допустим винды под ключ с огромным парком написанных для неё программ. И переводить народ на него тоже повсеместно и скорее всего в принудительном порядке. Мы уже сейчас наблюдаем смартфоны с РУССКИМ софтом, от которого избавляются по причине некомфортности. Короче, если сейчас переходить на отечественную криптографию, то ломать всё.

      В девяностые надо было вертеться, господа. Кто раньше встал, того и тапки.


  1. andreykp
    18.01.2022 16:22

    Государственная "криптография" не годится для долгосрочного хранения. После истечения срока сертификата ключ нужно перегенерировать. В результате все что было зашифровано становится мусором.


    1. buravtsov Автор
      19.01.2022 15:03
      +1

      Почему же? При применении как ГОСТ, так и других криптографических алгоритмов возможно использовать механизмы, разработанные для долговременного хранения документов, подписанных ЭП. Например, можно применять штампы времени (https://ru.wikipedia.org/wiki/Time_Stamp_Protocol) или расширенные форматы электронной подписи CADES (https://ru.wikipedia.org/wiki/CAdES)


  1. mixsture
    18.01.2022 16:39

    Знаете, я читаю про криптографию и безопасность в офисе. Потом я захожу на сервера клиентов и вижу валяющиеся приватные части ключей в открытом доступе для всех (сотрудников фирмы. под 50 человек где-то имеют доступ, когда должны человека 3). И меня такой смех разбирает.
    Вобщем, то что я вижу — это почти весь персонал обладает околонулевой квалификацией и поэтому все сводится к «пароль лежит под клавиатурой». Ну какая криптография? Чтобы она работала — все, кто хоть как-то ее касается — должны хорошо разбираться. И ладно, допустим, понимание слабое у далекого от ИТ персонала, но когда сисадмин не видит никаких проблем в валяющихся так закрытых ключах — о криптографии можно не вспоминать.
    Вот знаете, pgp появился более 20 лет назад (вместе с плагинами, упрощающими его использования в почтовых клиентах) — вот скажите, у вас есть хоть один пример из бизнеса ведения зашифрованной переписки (вне ЭДО, где того требует провайдер)? у меня нет.


    1. buravtsov Автор
      19.01.2022 15:13
      +1

      Добрый день. Статья немного про другое, конечно, но согласен с вами, что частое отсутствие базовых гигиенических правил по обеспечению ИБ это огромная проблема, которая может поставить крест на всех усилиях производителей средств защиты информации. Человек как был, так и остается самым слабым звеном в системах защиты.
      По поводу ведения зашифрованной переписки – лично я встречал такие примеры, но к сожалению гораздо реже, чем хотелось бы. И одна из наших целей как раз и состоит в том, чтобы создать безопасные инструменты коммуникаций, которыми будет удобно пользоваться ????