Защита персональных данных в компаниях сотовой связи

 

Стандартная защита.

 
      Все используемые способы  обеспечения информационной безопасности  в сетях сотовой связи операторы  «большой тройки» (как и «Скай Линк») определяют централизованно, а затем эти технологии защиты головной офис рекомендует региональным подразделениям. 
Спектр имеющихся предложений еще не очень широк. Прежде всего, это услуга VPN, которая благодаря шифрованию позволяет надежно защитить передаваемую в сетях сотовой связи информацию. При подключении данной услуги обычно учитываются особенности сети компании клиента: специфичные способы авторизации, политики информационной безопасности, использование защищенного доступа. Компания «Скай Линк» даже создала типовые отраслевые решения защищенного доступа к корпоративным информационным системам.

 

     В дополнение к VPN операторы  предлагают сетевые экраны для  защиты от действий третьих  лиц по захвату управления  над компьютерной сетью. Кроме  того, в арсенале провайдеров  есть услуга подключения оборудования  по выделенному каналу с публичным  статическим IP-адресом.

 

     Голосовой трафик также  шифруется. Специалисты считают, что  стандарт CDMA, используемый «Скай Линк», обеспечивает лучшую защиту от прослушивания, чем GSM, однако и последний достаточно надежен. «В теории дешифровать как передаваемые по сетям мобильной связи данные, так и голос возможно. Однако при использовании криптографических алгоритмов с «длинными» ключами, такими как AES-256 или 3DES, на дешифровку методом перебора на современных компьютерных мощностях потребуются многие годы. Вряд ли кто-нибудь из злоумышленников увидит смысл в решении этой задачи», - говорит Павел Антонов, инженер-консультант представительства Cisco в России и СНГ.

 

     Некоторая опасность  связана с тем, что существуют  стыковки с сетями сотовых  операторов из менее развитых  в технологическом плане стран. Степень защищенности таких сетей  значительно ниже, чем в Европе, США и России. Однако подобная  угроза существует только при  обмене данными с партнерами  из этих стран.

 

     В момент передачи  голосового трафика и данных  по защищенным каналам в сетях  сотовой связи вероятность их  несанкционированного перехвата  низка. Однако она увеличивается  при наличии доступа к мобильным  устройствам или установлении  контроля над ними (например, путем  заражения вирусами).

 

     Чаще всего ноутбуки, телефоны и планшеты при потере  или краже попадают в руки  людей, которых интересует прежде всего само устройство. Но некоторых может заинтересовать и хранящаяся на них информация. Чтобы защитить данные в таких ситуациях, операторы «большой тройки» рекомендуют клиентам использовать для связи их специальные тарифы, услуги и телефоны. В настоящее время на российском рынке существует два варианта «защищенных» аппаратов — канадский BlackBerry и отечественный «SMP-Атлас».

 

     BlackBerry предлагают МТС и «ВымпелКом» в рамках предоставления одноименной услуги. Эта услуга обеспечивает доступ к корпоративной почте и  таким системам, как CRM и ERP, при наличии канадского смартфона.

 

     «При подключении к  BlackBerry весь исходящий и входящий на аппарат трафик шифруется алгоритмом Triple DES либо AES, что гарантирует постоянную защищенность передаваемой информации. Все данные, находящиеся в памяти смартфона, защищены обязательным паролем и могут быть дополнительно зашифрованы. В случае утери или кражи аппарата BlackBerry у клиента есть возможность дистанционно изменить пароль, заблокировать телефон или даже удалить данные», - сообщил Дмитрий Костров, директор по проектам департамента информационной безопасности МТС.

 

     Если в BlackBerry защищаются именно данные, то сотовый телефон «SMP-Атлас» обеспечивает дополнительное шифрование речи с помощью встроенных средств криптографической защиты. Шифрование и дешифровка происходят только в телефонном аппарате, что исключает возможность прослушивания. Из телефона  невозможно извлечь SIM-карту без сброса ключей шифрования. Это исключает использование аппарата при его утере или краже. Приобрести «SMP-Атлас» можно у операторов МТС и «МегаФон» при подключении к похожим по названию услугам — «Конфиденциальная связь» и «Конфиденциальная сотовая связь» соответственно.

 

     Вирусы еще не стали  серьезной угрозой для сотовых  телефонов и смартфонов, но создатели  антивирусных программ уже предлагают  свои разработки для них, а  российские операторы предлагают  антивирусы своим клиентам.

 

     Эксперты считают, что  нынешняя ситуация с редкими  попытками преодоления защиты  в сетях сотовой связи является  временной. Для злоумышленников, судя  по всему, беспроводные каналы  связи еще не очень интересны, поскольку существуют широкие  возможности в фиксированных  сетях доступа к Интернету. Но  надо иметь в виду, что в  последние годы мобильные телефоны  приобретают свойства персональных  компьютеров. «Следовательно, спектр  угроз безопасности для мобильных  устройств со временем будет  становиться таким же как и для персональных компьютеров, работающих в Сети», - считает Павел Антонов.

 

     С ним солидарен  Дмитрий Костров: «Стремительное  развитие технологий привело  к тому, что количество рисков, с которыми сталкиваются пользователи, возрастает. Как только расширился  функционал телефонов, появились  неограниченные возможности для  злоумышленников. После перехода  на IP-технологии (3G, LTE) эта область  стала сравнима с Интернетом». 

 

     Ожидается, что по мере  появления новых угроз и большего  интереса злоумышленников к сетям  сотовой  связи на рынке будут появляться новые предложения разработчиков технологий защиты, а также новые стандарты.

Рассмотрим принципы защиты информации, применяемые в самом распространенном стандарте сотовой связи - GSM.

У всех сотовых систем существует принципиальный недостаток: информация передается по радиоканалу, а значит, подвержена несанкционированному доступу и, как следствие из этого, необходимо защитить передаваемую информацию. В стандарте GSM применены три операции, обеспечивающие защиту данных.

1. Аутентификация (подлинность, достоверность). Эта процедура применяется  при подключении абонента к  системе. Рассмотрим простейший  способ аутентификации абонента. В каждом телефонном аппарате  стандарта GSM имеется индивидуальная SIM-карта, содержащая индивидуальный  ключ абонента Ki и контроллер, предназначенный для аутентификации. С базовой станции на абонентскую посылается случайная последовательность RAND. При получении этой последовательности на абонентской станции происходит специальное преобразование T12, с использованием ключа абонента Ki. Формируется отклик на входящий сигнал RAND - последовательность Res. На базовой станции проходит такая же операция, с использованием ключа Ki, хранящегося в регистре данных оператора мобильной связи. Формируется отклик - xRes. Затем сравниваются отклики Res и xRes, и если они совпадают, то процедура аутентификации пройдена. Именно такой порядок необходим, чтобы сохранить секретность оригинального ключа Ki, хранящегося у оператора. Ведь, если вам известен ключ, то вы можете войти в сеть, а оператор будет считать, что в сеть вошел хозяин данного ключа, и вам "перейдет" его денежный счет у данного оператора. Именно поэтому необходимо защитить и базу данных с индивидуальными ключами абонентов.

2. Идентификация. Определяется  принадлежность данного мобильного  аппарата, вернее, SIM-карты. Если ваш  телефонный аппарат был украден, то вы можете подать заявление  об этом, и использование аппарата  будет невозможно. Но, как показывает  практика, операторы сотовой связи  заносят в "черный список" лишь SIM-карту. И человек, укравший ваш  аппарат, может выбросить вашу SIM-карту  и подключить аппарат снова. Это  подтверждается огромным числом  краж трубок, причем среди пострадавших  есть и мои знакомые. Поэтому  стоит лишь посоветовать вам: беречь свои телефонные аппараты.

3. Шифрование передаваемой  информации. В стандарте GSM использована  система простейшего шифрования. Информация передается в цифровом  виде, и происходит сложение по  модулю два (mod2) информационной последовательности  и шифровой. Дешифрация возможна  при наличии шифровой последовательности  и осуществляется все тем же  сложением по модулю два (mod2) зашифрованной  последовательности и дешифровочной, которая полностью совпадает  с исходной шифровой.

Не касаясь сотовых систем, скажем, что для шифрования передаваемых данных разработано огромное количество алгоритмов. Все они имеют свои преимущества и свои недостатки, и не надо думать, что если метод шифрования достаточно прост, как в рассмотренном примере, то он недостаточно эффективен. Растущее с каждым днем число пользователей стандарта GSM доказывает его надежность и применимость

Одновременно с расширением областей использования сотовых сетей связи все более актуальными становятся вопросы защиты информации, передаваемой в этих сетях. Криптографическая защита информации с использованием заложенных в стандарте GSM алгоритмов предназначена только для закрытия радиоканала от телефона абонента до базовой станции и не может обеспечить требуемого уровня конфиденциальности.

Сейчас за 200 - 300 дол. можно приобрести оборудование, способное прослушивать разговоры до 200 абонентов. Причем комплект этого оборудования состоит из простых составляющих: обычный персональный компьютер, две звуковые колонки, клавиатура, простенький монитор и устройство для считывания информации SIM-карт. С помощью такой нехитрой "установки" можно прослушивать разговоры владельцев мобильных телефонов стандарта GSM на расстоянии до 500 м от "цели" в зависимости от погодных условий и местности. Принцип действия устройства считывания информации прост. Оно представляет собой сканер, который записывает сигналы, посылаемые телефоном во время разговора, а потом их раскодирует. Причем для прослушивания разговоров определенных абонентов ничего, кроме их номеров, не требуется.

Нелегальный оборот подобных специальных технических средств сегодня входит в число самых доходных криминальных промыслов, занимая четвертое-пятое место после торговли наркотиками и оружием.

Таким образом, обеспечить гарантированный уровень защиты информации от абонента до абонента по критериям конфиденциальности и целостности с использованием только штатных средств защиты информации существующих сотовых сетей невозможно (по ряду технологических и экономических причин).

Одним из доступных и выгодных путей решения данной проблемы является использование принципа абонентского шифрования с применением так называемых наложенных средств защиты информации. Иначе говоря, сеть сотовой связи "надстраивается" для определенной категории пользователей дополнительными средствами защиты до требуемого уровня конфиденциальности и целостности. Для этого в качестве абонентских терминалов используются специальные сотовые телефоны (ССТ) со встроенными средствами криптографической защиты. При этом информация защищается по принципу от пользователя до пользователя, что принципиально важно, так как по всему маршруту прохождения в сети информация криптографически защищена. Алгоритм шифрования имеет высокую стойкость и обеспечивает гарантированную защиту информации в случае ее несанкционированного перехвата. Помимо этого при вхождении в связь используется специальный алгоритм аутентификации пользователей, парольная защита и т.д.

Совокупность специальных сотовых телефонов, работающих по определенному алгоритму, в единой ключевой зоне, является специальной наложенной сетью относительно сети оператора сотовой связи. Причем, пользователи (абоненты) специальной наложенной сети имеют возможность выбора двух режимов работы:

обмена конфиденциальной информацией друг с другом внутри специальной наложенной сети за счет использования встроенных в ССТ функций абонентского шифрования информации, в том числе при роуминге;

 

 выхода с использованием ССТ во внешнюю открытую сеть оператора и другие сопряженные сети для общения с обычными пользователями, при этом функция абонентского шифрования отключается.

Разумеется, доступность связи и в том и другом случае будет целиком и полностью зависеть от возможностей сети сотового оператора, имеющего специальную наложенную сеть, и сетей других операторов при роуминге.

 

 

РЕАЛИЗАЦИЯ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ В СЕТЯХ ОПЕРАТОРА СОТОВОЙ СВЯЗИ "МегаФон"

Необходимость создания дополнительных систем защиты информации в сетях сотовой связи давно осознается руководством страны. Президент РФ Указом от 10.08.1998 г. № 944 поручил Правительству РФ принять меры по обеспечению безопасности государства при развитии и эксплуатации сетей электрической связи и созданию специальной федеральной подсистемы конфиденциальной сотовой связи на основе сотовой радиотелефонной связи в стандарте GSM (СФП КСС).

В сентябре 2000 г. Президент РФ подписал доктрину информационной безопасности РФ. В ней в числе других была поставлена задача защиты информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем как уже развернутых, так и создаваемых на территории РФ. Задача обеспечения безопасного и устойчивого функционирования существующих и создаваемых сетей сотовой связи как составляющей взаимоувязанной сети связи РФ приобрела государственное значение.

В развитие издано ряд постановлений, в которых были намечены первые шаги по реализации указа, а также определен государственный заказчик проекта СФП КСС, он же специальный оператор федеральной подсистемы - ФАПСИ (ныне служба специальной связи и информации ФСО России, далее - Спецвязь ФСО России)…

…В настоящее время с участием "МегаФона" разрабатываются новые перспективные модели специальных сотовых телефонов. К примеру, российскими производителями сотовых телефонов скоро будет организовано серийное производство специального сотового телефона - криптосмартфона (рис. 3). 

акопленный опыт работы показал, что для качественного, эффективного и стабильного предоставления услуг конфиденциальной сотовой связи необходимо создание единой транспортной среды для СФП КСС и ССПД на основе сетей связи стандарта GSM с участием других, кроме базового, операторов связи.