Доказательная сила логов
 

статья-победитель зимнего конкурса статей на SecurityLab.ru:

далее http://www.securitylab.ru/contest/285274.php

Атака на Call центр
 

второе место:

далее http://www.securitylab.ru/contest/283294.php

Интересные статьи. Вопрос доказательной базы всегда стоял очень остро, тем более к доказательствам, которые нельзя "потрогать". Сам по себе процесс доказывания очень сложен и малейшие ошибки и разночтения могут привести к оправданию человека, совершившего преступление. Тут встаёт вопрос о появлении экспертов криминалистов, специализирующихся на процессуальном документировании процесса изъятия логов и другой информации содержащейся на ПК. Подобного рода инструкцию я видел у одной американской правоохранительной структуры (ссылочку найду, скину). Процесс описыватеся от входа в помещение, до выхода из него - т.е. точное, конкретизируемое, пошаговое описание процесса изъятие информации.

Понравилось сторонее решение во второй статье с регистрацией анкеты на сайте знакомств. Дёшево и сердито.:)

одним из вариантов сохранности и неизменности логов по истечении времени было бы удаленное хранение лога. то есть, системы при возникновении события делает запись о нем не только у себя, а также скидывает на носитель (по сети на другой сервер), доступ на модификацию которого админ первичной системы не имеет.

это еще раз вопрос к тому, чтобы при работе с регистраторами доменов (у нас) тут же давать им в персональный кабинет лог системы по их действиям, чтобы системы подтверждала изменения, причем немедленно, чтобы не было возможных обвинений в нашу сторону, как держателям сервиса, имеющим неограниченные в ней права

Этот вопрос более-менее подробно проработан на Западе...

Из доступного - в Интернете была версия книги Information security handbook, автор Hal Tipton.
Обратите внимание, что даже добытые с соблюдением всех условий улики в электронном виде относятся к категории hearsay - дословно "слухи", а более подробно "информация, добытая через третьи руки".

Еще одно интересное условие, которое порой упускается из виду, это то, что логи должны быть получены в результате ежедневных рутинных операций. То есть, если логи подготовлены специально для обвинительного случая, они не будут рассмотрены, как доказательство.

На практике, я думаю, решение о доказательности логов должен принимать эксперт. При одном условии - экспертное заключение должно состоять не из одной фразы "верить / не верить", а с подробным описанием - на основании чего и при соблюдени каких условий эксперт сделал вывод. С тем, чтобы, используя это заключение, любой другой независимый эксперт мог повторить логическую цепочку и однозначно придти к тем же выводам.

В условиях непрописанности этих тонкостей в законах, я рекомендовал бы любые действия по подготовке электронных доказательств проводить строго в составе комиссии не менее чем из 3 человек, причем минимум 1 из них должен быть независим от того, у кого основная роль по сбору доказательств.
Второе условие - каждое действие этой комиссии должно быть запротоколировано в бумажном виде, очень подробно и подписано всеми членами комиссии.
В таких условиях даже распечатка скриншота (снабженная тремя подписями) превращается из бумажки в документ.

кстати Собецкий жутко интересно ведет лекции :) очень много красочных (иногда непонятно выдумывал специально или нет, но все равно интересно!) примеров, короче сильно рекомендую попасть к нему.

Для тех, кто не работает в специальных органах, столкнуться с описываемой в статье ситуацией вряд ли придется.
Гораздо насущнее следующий вариант:
Сотрудник нарушил правила ИБ, что повлекло за собой некоторый ущерб предприятию. Ну или, как минимум, создало угрозу…
Короче говоря, результатом стало решение руководства наказать сотрудника – лишить премии или даже уволить.
Вот необходимость избежать последующего обращения этого сотрудника в суд за возмещением ущерба – это гораздо более часто встречающийся вопрос для рядовой службы ИБ учреждения.

Скорее всего, репрессии будут применены с некоей стандартной формулировкой типа “нарушение внутреннего распорядка” или более подробно “нарушение требований ИБ”. В случае обращения сотрудника в суд, потребуется доказать что нарушение было, что он не уволен по прихоти руководства.
Вот над этим и надо поработать.

1. Как минимум должны существовать Правила, которые он нарушил. Рассуждения типа “Все и так знают, что удалять корпоративные базы нельзя” в суде не пройдут. Правила должны быть утверждены в порядке, обеспечивающем их исполнение всеми сотрудниками и доведены под роспись, либо с сотрудника взято письменное обязательство об их соблюдении. Если предприятие предусматривает доведение информации до сотрудников в электронном виде, значит необходимо предусмотреть регистрацию события и обеспечение его юридической значимости (ЭЦП и т.д.). Обычно, на практике проще обойтись все-таки бумажкой.
2. Законодательства некоторых стран запрещают получать доступ, изучать и анализировать электронные сообщения гражданина без санкции прокурора или без разрешения самого гражданина. Если планируется в качестве доказательства использовать содержание электронных писем, Интернет-серфинга (что тоже может быть признано вариантом сообщения – запрос пользователя и ответ сервера) и т.д., то надо озаботиться документом, в котором сотрудник прямо и явно разрешает организации (уполномоченным работникам) все указанные действия со своей электронной активностью на рабочем места. Обращаю внимание, что расписка из п.1 об ознакомлении и готовности следовать корпоративным правилам не является разрешением на просмотр электронных сообщений – это другая бумажка и о ней надо озаботится отдельно!
3. Создать комиссию, о которой я писал в предыдущем постинге. Комиссия исследует имеющиеся электронные доказательства, в том числе, средства их получения/хранения, что подробно описывает в акте. Отдельное внимание необходимо уделить описанию того, почему эти доказательства не могут быть подделаны заинтересованными лицами.
Понятно, для выполнения последнего должны быть созданы определенные технические условия. Если десяток человек имеет доступ с правом изменения данных к логу, то использовать его в качестве доказательства бессмысленно.
4. Та же комиссия вызывает сотрудника либо прибывает на его рабочее место и оглашает ему список претензий от имени организации, подтверждая это ссылкой на имеющиеся доказательства (при необходимости демонстрируется копия акта из п.3).
5. Сотруднику предлагается написать объяснительную, в которой должно быть явно указано, что он признает факт своего нарушения Правил ИБ. Если же он отказывается писать объяснительную, необходимо потребовать от него устного разъяснения, в ходе которого выяснить его понимание факта нарушения ИБ. При необходимости, продемонстрировать ему копии его обязательства о соблюдении Правил ИБ.


6. Комиссия составляет акт с указанием претензий к сотруднику и описанием его реакции на них – признал / не признал, что говорил и т.д. Неплохо получить от сотрудника подпись, что он с этим актом ознакомлен.

На основании объяснительной либо акта из п.6 возможно проводить репрессии.

В определенной ситуации может возникнуть потребность исследования компьютера сотрудника. Комиссия должна начать эту процедуру немедленно либо обеспечить неприкосновенность компьютера до прибытия эксперта. В первую очередь необходимо отстранить самого сотрудника – никакие причины “я только перепишу на дискету” или, тем более, “выключу компьютер” не допускаются. Во вторую очередь необходимо обеспечить отсутствие доступа к компьютеру по сети (у сотрудника могут быть продвинутые друзья). Видимо, наиболее простой вариант – отключение сетевого кабеля. Но тут уже идут технические детали. Из наиболее существенного – необходимо обратить внимание на то, что на компьютере может быть установлена автоблокировка через определенное время. Для разблокировки потребуется пароль сотрудника либо дополнительные технические работы, которые могут привести к оспариванию выявленных позже доказательств.
Наилучший вариант – начать исследование компьютера немедленно и в присутствии сотрудника. Возможно, обнаруженные явные свидетельства его нарушения будут способствовать признанию им своей вины.
В любом случае, все действия комиссии или эксперта по обнаружению и извлечению доказательств должны документироваться.

Наиболее сложный вариант – когда сотрудник все отрицает и ничего не признает даже устно. Видимо в такой ситуации необходимо вызвать независимого эксперта (например, из CERT), который по горячим следам проанализирует ситуацию и зафиксирует результаты работы комиссии своим письменным заключением либо даст дополнительные рекомендации.

Необходимо также помнить, что в ряде стран трудовое законодательство запрещает применять к работнику более суровые меры, чем предупреждение или выговор, если последствия его нарушения не нанесли прямого время предприятию. Иначе говоря, уволить можно только после одного или двух предупреждений (выговоров). Это значит, что по результатам работы комиссии, сотруднику должен быть направлен документ о предупреждении/выговоре. На документе сотрудник должен поставить роспись о том, что он ознакомлен.
Данный документ может также послужить косвенным подтверждением (я не уверен, что доказательством, поэтому не использую этот термин) признания вины, если сотрудник не оспорит это предупреждение/замечание в разумный срок.

Если же сотрудник занял полностью враждебную позицию – ничего не подписывает и все отрицает, видимо, необходимо признать его потенциально опасным для предприятия и предпринимать какие-то меры, которые лежать вне компетенции ИТ и ИБ.

Понятно, что вышеуказанное применяется только к сотруднику, о проступке которого достоверно известно. Впрочем, в большинстве предприятий о сотрудниках имеется более подробная информация, чем, скажем у судьи об обвиняемом, которого он видит впервые.
Тем не менее, в любом случае, необходимо исключить вероятность того, что сотрудника подставляет кто-то из ИТ, ИБ или других служб.

сильное сообщение...

это очень важно

как это дело обстоит в Узбекистане? Примерно

А это не является нарушением КЗОТ и других документов со стороны работодателя?

Независимая структура (комиссия) - лучший вариант. При использовании соотв. специалистов - еще и компетентно. CERT уже имеет опыт участия в служебном расследовании. Эффективно. На каком предприятии - закрыто, не спрашивайте.

Вот это самое поразительное!

Определенно. Нелояльный сотрудник - плохой сотрудник.

Искандер, спасибо!

Любое вмешательство в личные дела гражданина и использование его персональной и частной информации у нас запрещается, конечно если в этом не возникает необходимость в ходе следственных действий, и конечно-же с санкции прокурора. Однако другое дело - "корпоративная почта". Она предназначена для передачи служебной информации и ведения служебной переписки. В данной связи, существует возможность её "мониторинга" в рамках принятой на предприятии Политики ИБ. Тоже самое относится и к вэб-серфингу и использованию других технических и информационных ресурсов доступных в ходе выполнения своих служебных обязанностей, так как они предоставляются для выполения определённых, предусмотренных функциональными обязаннастями задач, а не развлекательных и иных целей.

то есть обрабатываемая в корпоративной сети инфо, хранящаяся на жестких дисках рабочих станций, в том числе персональных сотрудника - не есть личное инфо по определению? и работодатель не должен получать согласия сотрудника для доступа к ней?

насколько известно любые файлы или информации созданные на оборудовании компании являются собственностью компании. Компания оставляет за собой право на доступ и аудит к любым файлам, информациям поддерживаемым на оборудовании компании без предварительного согласия или уведомления работника.
а личные инфо должны хранится на домашнем компьютере, офисная техника не для хранения личных информаций

ИД, мне тоже так кажется. Но с точки зрения руководителям предприятия очень важно точно мнение именно юристов. И юристов в этом направлении.

Юридическая тонкость, как я понимаю, заключается в следующем.
Предприятие может продекларировать, что вся информация и все сообщения на оборудовании предприятия, принадлежат предприятию. Беда в том, как Вы понимаете, что односторонняя декларация не приводит к переходу прав собственности. (Ведь от того, что кто-то продекларирует, что моя квартира стало теперь его, право собственности не перейдет.)
Таким образом, если я размещаю на рабочем компьютере личную информацию, она не может автоматически стать принадлежащей предприятию.
Я думаю, даже простое подписание работником согласия с Правилами, где будет указано, что вся информация на компьютере принадлежит организации, не изменит ситуации. В гражданском праве, скорее всего, передача прав собственности требует нотариального заверения или вообще оформления договора.
Проблема еще и в том, что выяснить что лежит в файле – рабочая информация или личная, работники ИБ предприятия смогут лишь получив доступ к файлу, то есть, нарушив закон.

Даже, если предположить, что сотрудник согласился со сложной системой распределения прав и признал, что все что в организации, принадлежит организации, и в этом случае у него есть серьезный аргумент
“Да, я использовал электронную почту в личных целях и тем самым нарушил КОРПОРАТИВНЫЕ правила. Но, получая доступ к моей электронной переписке без моего разрешения, служба ИБ нарушила закон ГОСУДАРСТВА!”
Ощущаете разницу?

Именно поэтому, получить прямое и явное разрешение на доступ/анализ и т.д. электронных сообщений сотрудника это очень важно. Для тех стран, где подобное ограничение в законах есть, конечно…

Именно в этом и заморочка.

И этого достаточно?

Я могу ориентироваться на российское законодательство (оно мне доступно)
Вот, из последней редакции закона о Персональных данных

Статья 16.
1. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.

В законодательстве РУз термин "персональная информация" практически не встречается. Однако, ввод правил на предприятии, в части ограничения хранения и использования персональных данных и иной неслужебной информации на служебных вычислительных средствах не является нарушением основных трудовых прав работника обозначенных в ст.16 Трудового кодекса РУз. Иными словами работнику для выполнения своих служебных обязанностей нет необходимости переписываться с друзьями о проведённых выходных, хранить фотографии с последнего пикника, игрушки, дневники и иные данные. Но всегда найдётся работник, который использует личную почту на яндексе или gmail посредством предоставляемого предприятием интернета - в этом случае её просмотр сотрудниками отдела ИБ будет незаконным.

Я сейчас не вспомню уже, но что-то на эту тему было в Законе об информации (или как-то так он называется). Настаивать не буду, просто смутные воспоминания.

На самом деле, пренебрегать этим вопросом не стоит. С ростом правосознания граждан количество обращений в суд по подобным вопросам будет расти и предприятия могут получить серьезную проблему.

Западные коллеги, например, рассказывали мне о том, откуда взялось стандартное предупреждение типа “Несанкционированное использование данного ресурса запрещено” на первых страницах веб-сайтов, приложений и т.д.
Потому что адвокаты разваливали любые нагромождения доказательств простым утверждением, что обвиняемый не знал, что нельзя заниматься зловредной деятельностью в системе…

На этот случай суду предоставляется его подписка об ознакомлении с политикой ИБ, где имеются положения, запрещающие деятельность по несанкционированной установке программного обеспечения и посещению сайтов, не относящихся к роду их служебной деятельности.

Вот как раз об этом и хотел задать вопрос. Организация предоставляет рабочее место (ПК) для выполнения задач сотрудником. При этом оговаривает, что имеет право проверять (контролировать), на что используется предоставленная инфраструктура (мы же спрашиваем отчеты о проделанной работе в командировке).

А сотрудник (1) использовал интернет для доступа в личному почтовому ящику на стороне (веб-сервис) в рабочее время, (2) сохранил письма локально или личные файлы. Работодатель, реализуя свое право контроля данных на своей технике, открыл эти личные файлы, не зная, что они личные (определить то не всегда можно).

Является ли это нарушением со стороны сотрудника?
Нарушение ли это со стороны работодателя - доступ к личной инфо неумышленно?
Как поступить работодателю?

Можно усугубить ситуацию.

Опять же, учитывая (как я понял), что работодатель обеспечивает свое право (через расписки и все такое) на контроль содержимого своей техники.

При реализаии права работодателя на контроль, обнаруживается файл с паролем или шифрован ЭЦП, не выданным от организации. Что делать?

А если это файл с рабочей инфо организации?

2 Vladimir Sheyanov

Нет, здесь смысл в другом…

При входе в корпоративную систему (Веб-портал, ERP и т.д.), а иногда даже при загрузке операционной системы либо на домашней странице браузера, но чаще всего там, где набирается логин/пароль висит предупреждение (даже специальный термин есть – warning banner) о том, что запрещается несанкционированное (вариант – незаконное, злоумышленное и т.д.) использование данного ресурса и что нарушитель будет преследоваться по закону.
Кстати, наличие этого предупреждение входит даже в некоторые методики по аудиту ИБ и если оно отсутствует, то ставится минус..

Не скажу точно почему, но, видимо, простого запрета в корпоративных правилах было недостаточно. Возможно тонкости законодательства США.

Я думаю, по той же причине, при установке программы Вам предоставляют весь текст лицензионного соглашения перед тем, как Вы нажмете кнопку “Согласен”, а не отсылают за текстом соглашения, скажем, на сайт производителя…

При проверке компьютера анализ информации осуществляется комиссионно, т.е. составляется акт, подписываемый всеми участниками комиссии. Во время проверки специалистом, при обнаружении каких-либо неизвестных файлов, об этом делается соответствующая запись в акте, и требуется объяснение работника о природе файла, также с занесением его комментариев в акт. Если сотрудник затрудняется объяснить, с его разрешения в присутствии членов комиссии осуществляется открытие файла для определения его содержания. В завершении анализа все участники мероприятия, включая работника ознакамливаются с содержанием акта и закрепляют его своими подписями.

2Djalolatdin Rakhimov

После того, как сотрудник подписал согласие на работу с его персональной информацией, работодатель может чувствовать себя свободно.
Вопрос в том, чтобы правильно сформулировать само Соглашение.
Туда, как минимум, должно войти право работодателя
1. Иметь доступ
2. Производить мониторинг
3. Анализировать (в том числе и с помощью криптоаналитических средств)
4. Распространять
ну и далее по потребности. Последний пункт – распространение – тоже важен, так как в противном случае, работодатель, например, не сможет передавать в вышестоящие или контролирующие учреждения (без санкции прокуратуры) сведения о сотрудниках.

Вообще, вопрос использования персональных данных это отдельное направление ИБ – Privacy, которое тоже начинает постепенное распространение с Запада к нам…

2 Iskander Koneev
Действительно, существуют определённое отличие между отечественным и зарубежным законодательством. Оно заключается в том, что мы при принятии различных законодательных актов имеем возможность изучать и анализировать опыт зарубежных законодателей, унифицировать их наработки и принимать своего рода "локализованную" версию. В свою очередь иностранные законодатели шли к этим документам методом проб и ошибок долгое время, изменяя и дополняя их, что в свою очередь приводит к своеобразной путанице. В этом плане мы находимся в более выгодном положении, имея возможность выбрать оптимальный со всех сторон документ и подготовить подобный, но с учётом реалий и имеющегося законодательства нашего государства.
Также, думаю не стоит допускать сотрудника к работе, а на стадии его оформления знакомить его с политикий ИБ. Также этот момент полезен в момент определения лояльности нового работника компании, то есть примит ли он эти положения или не согласиться с ними, намерен ли он честно работать, или же просто хочет использовать предоставляемые работадателем условия для каких-либо своих целей и нужд.

2Vladimir Sheyanov

Вы практически дословно повторяете мою мысль… уже не помню, кажется, на том же security.uz или еще где-то я писал тоже самое про возможность использовать чужой передовой опыт…
:-)

Что касается стадии оформления сотрудника, то там необходимо не только знакомство с политикой ИБ, а так называемый background check – то есть проверка его предыдущей истории, в том числе и рабочей.

Когда моя супруга пришла на собеседование в серьезный банк, ей сообщили, что они знают, кто ее муж (я), читали мои статьи и хотели бы тоже взять меня на работу…
:-)))

Это конечно, само собой разумеется

А что за критерий такой: изветсный или неизвестный файл? По имени? По местоположениею? По заранее согласованному списку файлов? Априори каждый файл неизвестен до его открытия.

Ок. Спасибо. Инфо для меня достаточно.

:) немного перефразируя "Когда я брал на работу Данияра Атаджанова, я ему сообщил, что знаю про его контакты с Искандером Конеевым и предложил сотрудничество с CERT"

Спасибо!

Всегда приятно, когда твое имя заслуживает доверия...

Это уже, я думаю, лучше определить администраторам корпоративной сети, ведь им проще разграничить системную информацию и сторонние данные. Как вариант может быть размещение всей служебной документации на серверах сети. В этом случае, кроме системы вообще ничего на рабочих станциях хранить не придётся. Но это уже совсем "в кулак".:)

Хорошо сказано! Тем более, что закона "Об авторском праве и смежных правах" и норм о защите интеллектуальной собственности еще никто не отменял.
И насчет соглашения о неразглашении коммерческой информации (в разных организациях звучит по-разному). В этих документах прописывается ответственность работника за разглашение информации предприятия. В то время как упоминания об отв-ти предприятия за разглашение персональных данных работника (т.е. конфиденциальной информации) вообще не встречаются. Абсурд какой-то. Этот вопрос еще поднимался в прошлом году на семинаре в Агентстве одним высокопоставленным чиновником.

Обычно данное соглашение носит односторонний характер, то есть это обязательство со стороны работника. Организация ничего ему (в этом документе) не обещает и не гарантирует. Налагать подобные обязательства (о защите персональных данных) на организацию это задача государства, обеспечивая, среди прочего и единообразный подход к защите этих данных.
В противном случае, каждая организация может слишком широко и вольно толковать набор этих данных.