Система контроля действий пользователя

Система контроля действий пользователя — программный или программно-аппаратный комплекс, позволяющий отслеживать действия пользователя. Данная система осуществляет мониторинг рабочих операций пользователя на предмет их соответствия корпоративным политикам.

Необходимость возникновения таких систем была обусловлена увеличением инсайдерских угроз. Подобные программные комплексы предотвращают или помогают расследовать утечки конфиденциальной информации, а также выявить нецелевое использование рабочего времени.

Причины возникновения

Современные системы информационной безопасности реализуют принцип «многоэшелонированной» защиты. Правильно установленные и настроенные средства защиты информации позволяют достаточно надёжно защититься от атак злоумышленников или вирусных эпидемий. Но несмотря на все это проблема внутренних нарушителей очень популярна. Раньше, на фоне хакеров и множества компьютерных вирусов, собственные сотрудники выглядели не столь угрожающе. Но в наши времена их действия, совершенные из-за некомпетентности или же, что тоже довольно часто — преднамеренности, влекут за собой реальные угрозы для компании.

Проведённое в 2007 г. первое открытое глобальное исследование внутренних угроз информационной безопасности компанией Infowatch (по итогам 2006 г.) показало, что внутренние угрозы являются не менее распространёнными (56,5 %), чем внешние (вредоносные программы, спам, действия хакеров и т. д.).В подавляющем большинстве (77 %) причиной реализации внутренней угрозы является халатность самих пользователей (невыполнение должностных инструкций либо пренебрежение элементарными средствами защиты информации).[1] Так же большую опасность представляют злоумышленники с высокими полномочиями доступа — администраторы сетей, операционных систем, приложений, баз данных. Всем этим объясняется рост интереса в последние десятилетия к мониторингу действий пользователя. С помощью систем контроля пользователей рабочие операции проверяются на предмет их соответствия корпоративным политикам по соблюдению нормативных требований и автоматически выводятся предупреждения, когда нарушаются политики безопасности, либо информация и технологические активы подвергаются риску несанкционированного доступа и деструктивных действий

Основная функциональность и назначение

Мониторинг рабочего стола

Одним из основных способов контроля действий пользователя является мониторинг его рабочего стола. Это реализуется двумя способами — администратор видит всё то, что сейчас видит пользователь, или просматривает сохранённые снимки экрана или видеозапись действий пользователя.[2][3] Они могут быть использованы как вещественные доказательства нарушения трудового договора. Технически снятие скриншотов очень простая операция.

Мониторинг процессов

Также система контроля действий пользователя отслеживает запущенные приложения, сохраняя различные параметры: время запуска, время работы, время активности на экране и т. д. Это позволяет оценить эффективность использования рабочего времени работником, отследить вирусную атаку, которая может повредить корпоративную информацию.[4] Кроме того, долгое время работы сотрудника с определённым приложением может означать, что сотрудник испытывает трудности при работе с ним[5]. Большинство систем позволяет блокировать запуск определённых процессов. Может существовать функция завершения уже запущенных процессов удалённо[4].

Как и в случае со скриншотами, есть множество вариантов получения списка процессов. Например, библиотека tlhelp32.h позволяет получить список процессов в Windows.[6] В unix-подобных системах это делается, например, командой ps.

Мониторинг доступа к USB

Съёмные usb-носители представляют серьёзную угрозу конфиденциальной информации[7], поэтому доступ к ним должен контролироваться системой. Большинство систем наблюдения предоставляют возможность блокировки доступа ко всем устройствам, фильтрации устройств и журналирование использования usb-устройств. Это предотвращает как утечку информации так и проникновение вирусов на рабочий компьютер. Часто, при разрешённом доступе, всё, что копируется на съёмный носитель, сохраняется в другом месте и может быть использовано для расследования нарушений политики компании.

B Windows технически это реализуется несколькими способами:

  • Полное блокирование через реестр[8]
  • Полное блокирование, через запрет записи в файлов %SystemRoot%\Inf\Usbstor.pnf , %SystemRoot%\Inf\Usbstor.inf[8]
  • Частичная блокировка и фильтрация возможна через написание USB-драйвера

В Linux и некоторых других Unix-подобных системах возможные следующие варианты блокировки:

  • Запрет загрузки драйвера usb-накопителя
  • При загрузке системы предать параметр nousb ядру
  • Запретить монтирование устройств всем пользователям, кроме администратора

Мониторинг интернет активности

Отчёт о социальной Активности пользователей. Staffсop[9]

Интернет — серьёзный канал утечки конфиденциальных данных[10], поэтому системы контроля за действиями пользователя отслеживают многие аспекты интернет активности работника:

  • Мониторинг посещаемых веб-сайтов позволяет выявить не целевое использование рабочего времени, отслеживать поисковые запросы сотрудника (из них можно отследить- ищет ли он другие вакансии или не относящуюся к работе информацию). Сохраняются Url, заголовки посещённых страниц, время их посещения. Некоторыми системами реализуется возможность наблюдения в режиме реального времени за открытыми сайтами.
  • Социальные сети . Помимо не целевой траты рабочего времени на социальные сети, через них может утекать конфиденциальная информация. Поэтому система может сохранять набор данных: просматриваемые профили, переписки, а также отправляемые туда фотографии.
  • IM . Чтобы предотвратить или потом доказать утечку информации, перехватываются и сохраняются сообщения большинства популярных IM-протоколов и месседжеров (ICQ, Jabber,IRC, Skype). Это делается как программными средствами, так и через анализ трафика проходящего через шлюз.
  • Мониторинг электронной почты. По данным Infowatch в первой половине 2013 года почти 30 % утечек происходили через Email[11], поэтому важно контролировать что отсылается/принимается сотрудником компании. Для этого ведётся полное журналирование всех сообщений электронной почты. Чаще всего это делается путём перехвата сообщений локального почтового-клиента[12] , однако возможен и перехват сообщений отправляемых через web-клиент.[13]

Технически, такой вид мониторинга может быть реализован двумя способами:

  • Перехват непосредственно сетевого трафика программно или аппаратно. Это работает до тех пор пока не используется защищенное интернет соединение, например SSL.
  • Перехват содержания web-форм, полей ввода и прочего. При таком методе наблюдения, скрыть передаваемое сообщение практически не возможно.

Мониторинг локальных действий

Основные локальные действия пользователя тоже контролируются:

  • Мониторинг клавиатуры. Система записывает все нажимаемые клавиши, включая системные (CTRL, SHIFT, ALT, CAPS LOCK)[14], кроме этого, могут быть записаны название окна, в которое производился ввод, язык раскладки и т. д.[15] Это позволяет контролировать использование конфиденциальной информации, восстанавливать забытые пароли, отслеживать объём проделанной работы (для стенографисток). Программа, занимающаяся только перехватом нажатий клавиш, называется кейлоггер. Для Windows кейлоггеры создаются с помощью т. н. хуков, когда между нажатием клавиши и отправкой сообщения окну о факте нажатия вклинивается сторонняя функция, которая отмечает факт нажатия клавиши. В unix-подобных системах, использующих Х-сервер, кейлогеры реализуются посредством функции XQueryKeymap из библиотеки Xlib.
  • Буфер обмена. Система сохраняет всё, что было скопировано в буфер обмена, и почти всегда сопутствующую информацию. Это позволяет предотвратить потерю информации, даёт возможность обнаружить разглашение конфиденциальной информации. Windows предоставляет стандартную функцию для этих целей SetClipboardViewer[16], для Linux это делается через Xlib. Также есть платформонезависимые средства управления буфером обмена, например Qt.
  • Запоминаются все действия с файлами: копирование, удаление, редактирование и программа, через которую действие совершено. Это позволяет установить, какие файлы использовал сотрудник для своей работы и выявить вирусную атаку. Для Windows программно это реализуется подменой стандартных функций чтения/записи файла в соответствующих DLL[17]. В Linux этого можно достичь, перехватывая системные вызовы[18].
  • Печать файлов. Через принтер может утечь конфиденциальная информация, достаточно распечатать важный документ и вынести с предприятия, поэтому сохраняются названия печатаемых файлов, время и дата печати. Также печатаемые файлы могут сохраняться как в виде исходного файла, так и в виде графического файла. В Windows для таких целей предусмотрен Print Spooler API, позволяющий управлять очередью печати[19]. Для Linux теневое копирование файлов печати реализуется с помощью CUPS.

Юридическое регулирование

Работодатель использующий программы для мониторинга прежде всего заинтересован в информационной безопасности своей компании и так же в возможности эффективно контролировать рациональное использование компьютерных средств и рабочего времени вашими сотрудниками. Тем не менее, подобная деятельность менеджеров в любой момент может вызвать возмущение подчиненных, так как Конституция РФ защищает частную собственность (ст. 8; 35), неприкосновенность частной жизни гражданина (ч. 1 ст. 23), охраняет тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, устанавливает, что ограничение этого права допускается только на основании судебного решения (ч. 2 ст. 23). Законодательством категорически запрещено установление работодателем каких-либо негласных способов наблюдения за персоналом. Негласное наблюдение является оперативно-розыскным мероприятием, которое вправе осуществлять только оперативные подразделения специально уполномоченных на это государственных органов, перечисленные в ст. 13 Федерального закона от 12.08.1995 No144-ФЗ «Об оперативно-розыскной деятельности».[20] Такие разногласия требуют установления баланса во имя избежание конфликтов между работником и работодателем. В случае возникновения конфликта, подчиненные могут попытаться представить деятельность руководителя незаконной. В таких ситуациях, чтобы избежать проблем, работодатель должен знать свои права и закон, например:гражданский кодекс статья 1470 (Служебный секрет производства)- исключительное право на секрет производства, созданный работником в связи с выполнением своих трудовых обязанностей или конкретного задания работодателя (служебный секрет производства), принадлежит работодателю.

Трудовой кодекс РФ(статья 15) гласит: Трудовые отношения — это отношения, основанные на соглашении между работником и работодателем о личном выполнении работником за плату трудовой функции (работы по определенной специальности, квалификации или должности), подчинении работника правилам внутреннего трудового распорядка при обеспечении работодателем условий труда, предусмотренных трудовым законодательством, коллективным договором, соглашениями, трудовым договором. Поэтому во избежание юридических казусов работодателю нужно дополнить стандартный трудовой договор или трудовое соглашение (договор найма на работу) тремя пунктами:

  • разглашение сведений, представляющих коммерческую и иную тайну-это должностное преступление;
  • использование телефона, факса, электронной почты, доступа в Интернет допустимо только для выполнения служебных задач;
  • работник согласен с тем, что регулярный контроль за соблюдением пунктов, указанных выше будет осуществляться всеми доступными средствами.

С юридической точки зрения принятия перечисленных мер достаточно, чтобы использовать системы контроля действий пользователя, на законных основаниях, но вопрос о правомерности прослушивания разговоров и контроля за Интернет-перепиской более глубокий и сложный и даже дополнение договоров вышеперечисленными пунктами может не предотвратить юридических конфликтов. Согласно трудовому законодательству, работодатель вправе собирать о своих сотрудниках только те сведения, которые имеют отношение к его служебным обязанностям. Противоречие заключается в том, что в процессе общения на рабочем месте непременно затрагиваются личные темы. И если работник подписал согласие на сбор информации о себе, то его собеседники такого документа не предоставляли. Проблему с Интернет перепиской можно решить следующим образом: просматривать только исходящие сообщения сотрудников.

См. также

Примечания

  1. Глобальное исследование инцидентов внутренней информационной безопасности. Дата обращения: 10 декабря 2013. Архивировано 12 декабря 2013 года.
  2. Запись видео с мониторов компьютеров, Kickidler Архивная копия от 31 октября 2018 на Wayback Machine (рус.)
  3. Lan Agent Архивная копия от 11 декабря 2013 на Wayback Machine (рус.)
  4. 1 2 Описание StaffCop Архивная копия от 12 декабря 2013 на Wayback Machine (рус.)
  5. Описание Security Curator Архивная копия от 26 сентября 2013 на Wayback Machine (рус.)
  6. MSDN. Дата обращения: 10 декабря 2013. Архивировано 27 февраля 2014 года.
  7. SecurityLab. Дата обращения: 8 декабря 2013. Архивировано 12 декабря 2013 года.
  8. 1 2 Предотвращение использования USB-устройств хранения данных. Дата обращения: 10 декабря 2013. Архивировано 13 декабря 2013 года.
  9. Staffcop – система расследования инцидентов внутренней безопасности. www.staffcop.ru. Дата обращения: 23 августа 2024. Архивировано 23 августа 2024 года.
  10. Каналы утечек конфиденциальной информации — Анализ угроз — Anti-Malware.ru. Дата обращения: 7 декабря 2013. Архивировано 12 декабря 2013 года. (рус.)
  11. Отчёт InfoWatch. Дата обращения: 8 декабря 2013. Архивировано 12 декабря 2013 года.
  12. Описание Security Curator Архивная копия от 26 сентября 2013 на Wayback Machine (рус.)
  13. Описание Lan Agent. Дата обращения: 7 декабря 2013. Архивировано 11 декабря 2013 года.
  14. Описание StaffCop Архивная копия от 26 ноября 2020 на Wayback Machine (рус.)
  15. Описание Lan Agent Архивная копия от 11 декабря 2013 на Wayback Machine (рус.)
  16. MSDN. Дата обращения: 10 декабря 2013. Архивировано 27 февраля 2014 года.
  17. Хакер, номер #070, стр. 070-082-1, Операция «Перехват». Дата обращения: 10 декабря 2013. Архивировано 14 декабря 2013 года.
  18. Cyber Security News | Новости компьютерной безопасности | csn.net4me.net. Дата обращения: 11 декабря 2013. Архивировано 14 декабря 2013 года.
  19. MSDN. Дата обращения: 10 декабря 2013. Архивировано 10 февраля 2014 года.
  20. Об оперативно-розыскной деятельности. Дата обращения: 10 декабря 2013. Архивировано 21 февраля 2011 года.

Ссылки