Система контроля действий пользователя

Современные системы информационной безопасности реализуют принцип многоэшелонированной защиты. Правильно установленные и настроенные средства защиты информации способны обеспечить эффективную защиту от атак злоумышленников или вирусных эпидемий. Однако несмотря на это проблема внутренних нарушителей остаётся актуальной. Ранее, на фоне многочисленных хакеров и компьютерных вирусов, собственные сотрудники казались менее опасными. В настоящее время их действия, обусловленные некомпетентностью либо, что нередко происходит, преднамеренностью, создают реальную угрозу для компании.

Согласно открытому глобальному исследованию внутренних угроз информационной безопасности, проведённому компанией Infowatch в 2007 году, внутренние угрозы встречаются почти так же часто (56,5 %), как и внешние - вредоносные программы, спам, действия хакеров и др.. В большинстве случаев (77 %) причиной реализации внутренней угрозы становится халатность самих пользователей, невыполнение должностных инструкций или пренебрежение средствами защиты информации^[1]. Серьёзную опасность также представляют злоумышленники с высоким уровнем доступа — администраторы сетей, операционных систем, приложений, баз данных. Всё это объясняет рост интереса к мониторингу действий пользователя. С помощью систем контроля пользовательские операции проверяются на предмет их соответствия корпоративным политикам и нормативным требованиям, автоматически формируются предупреждения при нарушении политик безопасности или возникновении рисков несанкционированного доступа и деструктивных действий.

Одним из главных способов контроля действий пользователя является мониторинг его рабочего стола. Это реализуется двумя методами: администратор может видеть всё, что отображается на экране пользователя в реальном времени, либо просматривать сохранённые скриншоты или видеозаписи действий пользователя^[2][3]. Такие материалы могут использоваться как доказательства нарушения трудового договора. С технической точки зрения снятие скриншотов — достаточно простая операция.

Система контроля действий пользователя отслеживает запущенные приложения, фиксируя важные параметры: время запуска, время работы, длительность активности на экране и др. Это позволяет оценить эффективность использования рабочего времени и своевременно обнаружить, например, вирусную атаку, способную повредить корпоративную информацию^[4]. Длительная работа сотрудника в одном приложении может свидетельствовать о затруднениях при его использовании^[5]. Большинство систем позволяет блокировать запуск определённых процессов, а также завершать уже запущенные процессы удалённо^[4]

Получение списка процессов реализуется несколькими способами. Например, библиотека tlhelp32.h позволяет получить список процессов в Windows.^[6]. В unix-подобных системах это можно сделать командой ps.

Съёмные USB-носители представляют серьёзную угрозу для конфиденциальной информации^[7], поэтому доступ к ним должен контролироваться системой. Большинство систем наблюдения позволяют блокировать доступ ко всем устройствам, фильтровать устройства и вести журнал использования USB-устройств, что помогает предотвратить утечки информации и заражение компьютера вирусами. В случае разрешённого доступа всё, что копируется на съёмный носитель, может автоматически сохраняться для последующего расследования нарушений.

В Windows возможны следующие методы реализации:

• Полная блокировка через реестр^[8]
• Блокировка путём запрета записи в файлы %SystemRoot%\Inf\Usbstor.pnf, %SystemRoot%\Inf\Usbstor.inf^[8]
• Частичная блокировка и фильтрация с использованием специализированных USB-драйверов

Для Linux и других unix-подобных систем применяются, например:

• Запрет загрузки драйвера USB-накопителя
• Передача ядру параметра nousb при загрузке системы
• Запрет монтирования устройств всем, кроме администратора

Интернет — один из главных каналов утечки конфиденциальных данных^[10]. Системы контроля действий пользователя отслеживают многочисленные аспекты интернет-активности:

• Мониторинг посещаемых веб-сайтов помогает выявить нецелевое использование рабочего времени, отследить поисковые запросы (например, поиск другой работы или тем, не связанных с деятельностью компании). Сохраняются URL-адреса, заголовки страниц и время их посещения. Некоторые системы позволяют в режиме реального времени просматривать открытые сайты.
• Социальные сети. Помимо лишних затрат времени, через социальные сети может утекать конфиденциальная информация. Система может сохранять просматриваемые профили, переписку и отправляемые изображения.
• Обмен мгновенными сообщениями (IM). Для предотвращения или фиксации утечек сохраняются сообщения большинства популярных IM-протоколов и месседжеров (ICQ, Jabber, IRC, Skype). Перехват может осуществляться программно или через анализ сетевого трафика на шлюзе.
• Электронная почта. По данным Infowatch, почти 30 % утечек в первой половине 2013 года происходили через электронную почту^[11]. Обычно осуществляется журналирование всех сообщений. Чаще сбор информации производится путём перехвата сообщений локального почтового клиента^[12], возможен также перехват сообщений, отправляемых через web-клиенты^[13].

Технически мониторинг интернет-активности реализуется двумя способами:

• Перехват сетевого трафика программными или аппаратными средствами (работает до применения защищённых соединений, например SSL).
• Перехват содержимого web-форм и полей ввода, когда скрыть передаваемое сообщение практически невозможно.

Также контролируются основные локальные действия пользователя:

• Мониторинг клавиатуры. Программа фиксирует все нажатия клавиш, включая управляющие (CTRL, SHIFT и пр.), а также название окна, язык ввода и пр^[14][15]. Это помогает отслеживать использование конфиденциальных данных, восстанавливать забытые пароли, а также анализировать эффективность работы, например, для стенографисток. Программы, фиксирующие нажатия клавиш, называются кейлоггерами. В Windows кейлоггеры реализуются с помощью хуков, а в unix-подобных системах с использованием функции XQueryKeymap из библиотеки Xlib.
• Буфер обмена. Система фиксирует все объекты, скопированные в буфер обмена, и сопутствующую информацию. Это помогает предотвращать утечку информации и позволяет восстановить случайно утерянные данные. В Windows для этого используется функция SetClipboardViewer^[16]; в Linux — через Xlib. Существуют и платформонезависимые средства, такие как Qt.
• Действия с файлами. Фиксируются все операции с файлами (копирование, удаление, редактирование), а также приложение, с помощью которого действие совершено. Это позволяет установить, какие документы использовал сотрудник, и выявить атаки вредоносных программ. В Windows такие функции реализуются подменой стандартных функций чтения/записи файлов в DLL^[17], в Linux — через перехват системных вызовов^[18].
• Печать файлов. Принтер является каналом утечки информации: достаточно распечатанного документа, чтобы секретные сведения вынесли с предприятия. Поэтому сохраняются названия печатаемых файлов, время и дата печати. Иногда файлы сохраняются в исходном или графическом виде. В Windows для отслеживания используется Print Spooler API^[19], в Linux — теневое копирование файлов печати через CUPS.

Работодатель, использующий программы для мониторинга, в первую очередь ориентирован на обеспечение информационной безопасности компании и эффективный контроль использования ресурсов и рабочего времени сотрудников. Тем не менее, такая деятельность может вызывать недовольство персонала, так как Конституция Российской Федерации защищает право на частную собственность (ст. 8, 35), неприкосновенность частной жизни (ч. 1 ст. 23), тайну переписки, переговоров и сообщений; ограничения этих прав возможны только на основании судебного решения (ч. 2 ст. 23). Законодательство категорически запрещает внедрение негласных способов наблюдения работодателем за сотрудниками. Тайное наблюдение относится к оперативно-розыскным мероприятиям, возможным только для специализированных государственных органов, перечисленных в ст. 13 Федерального закона от 12.08.1995 №144-ФЗ «Об оперативно-розыскной деятельности»^[20]. Поскольку могут возникать конфликты между работником и работодателем, важно установить баланс интересов. При возникновении спора работники могут обвинить работодателя в незаконности его действий. Чтобы избежать подобных проблем, работодателю необходимо знать свои права и законы, включая, например, Гражданский кодекс РФ, статью 1470 (секрет производства) — исключительное право на служебный секрет производства, созданный работником в связи с выполнением служебных обязанностей, принадлежит работодателю.

Трудовой кодекс РФ (статья 15) определяет: трудовые отношения — это отношения, основанные на соглашении между работником и работодателем о выполнении работником за плату трудовой функции, подчинении правилам внутреннего трудового распорядка. Во избежание юридических недоразумений трудовой договор должен быть дополнен следующими пунктами:

• разглашение сведений, составляющих коммерческую или иную тайну, является должностным преступлением;
• использование телефона, факса, электронной почты, доступа в Интернет допустимо только для служебных целей;
• работник даёт согласие на проверку исполнения указанных пунктов всеми доступными средствами.

С юридической точки зрения данных мер достаточно для законного использования систем контроля действий пользователя. Однако вопрос о правомерности прослушивания разговоров и контроля интернет-переписки более сложный, и даже эти меры не защищают от всех возможных юридических конфликтов. По трудовому законодательству, работодатель может собирать только сведения, имеющие отношение к служебным обязанностям работника. Проблема в том, что при коммуникации затрагиваются и личные темы, а собеседники работника обычно согласия на сбор данных не дают. Для снижения риска целесообразно ограничивать контроль только исходящими сообщениями сотрудников.