ADG Оставить заявку
Блог Информационная безопасность 4 мин чтения

Украли ноутбук с финансовыми данными - что мы сделали после

Кража ноутбука без шифрования и пароля BIOS обернулась утечкой финансовых данных. Разбираем, что реально можно сделать без дорогих решений.

Контекст момента

число ноутбуков в парке растёт, кражи становятся реальным риском

У одного из наших клиентов в феврале украли ноутбук. Не у рядового сотрудника - у финансового директора. Забыл на заднем сиденье такси, классика. На машине были таблицы с платёжной историей, договоры, кое-что по зарплатам. Никакого шифрования, никакого пароля на BIOS, Windows загружается сразу в рабочий стол. Кто бы ни нашёл этот ноутбук - он получил всё содержимое без каких-либо усилий.

Инцидент неприятный, но не уникальный. Ноутбуков в офисах становится всё больше: менеджеры берут их на встречи, финансисты - на переговоры, директора - в командировки. Пока парк был три штуки у руководства, на это закрывали глаза. Теперь у некоторых клиентов десяток-полтора мобильных машин, и риск стал вполне реальным.

Мы разобрали ситуацию и посмотрели, что можно сделать без покупки специализированных продуктов за большие деньги.

Пароль на BIOS - первый и самый простой рубеж. Без него ноутбук загружается с любого носителя, и доступ к диску открывается в два счёта. Пароль BIOS не спасёт от человека, который готов вытащить диск и подключить его внешним образом, но отсекает самый массовый сценарий: нашёл, включил, смотрю. Ставится за две минуты, ничего не стоит. Мы теперь прописали это в чеклист настройки каждой новой мобильной машины.

Шифрование папок с чувствительными данными. Windows 2000 и XP Professional имеют встроенную EFS - Encrypting File System. Работает прозрачно: пользователь сохраняет файл в зашифрованную папку, Windows шифрует на лету. При загрузке под другой учёткой или при подключении диска к другой машине - содержимое нечитаемо. Звучит хорошо. На практике есть нюансы, которые надо знать до, а не после.

Первое: ключ шифрования привязан к профилю пользователя. Если профиль слетел или переустановили Windows без экспорта сертификата - данные потеряны. Навсегда. Мы видели такое однажды и запомнили накрепко. Поэтому обязательный шаг - экспорт EFS-сертификата в безопасное место сразу после включения шифрования.

Второе: шифруются файлы в конкретных папках, а не диск целиком. Временные файлы, кеш браузера, файл подкачки - туда часть данных всё равно попадает. EFS защищает от самого очевидного вектора, но не от криминалистики.

Третье: на Windows XP Home EFS нет. Только Professional. Это надо проверить до начала работы.

Что не держать на ноутбуке. Это звучит банально, но на деле многие хранят на мобильных машинах всё подряд просто потому, что так удобно. После разговора с клиентом выяснилось, что финансовому директору большинство этих файлов нужны были раз в квартал, а лежали они локально постоянно - «на всякий случай». Правило простое: если файл не нужен в дороге, его нет на ноутбуке. Для того, что нужно редко, - файловый сервер в офисе и VPN. Это не техническое решение, это договорённость, которую надо зафиксировать и соблюдать.

Пароль на учётную запись Windows и автоблокировка экрана. Тоже очевидно, но у клиента на том ноутбуке пароль Windows был пустой - чтобы «быстрее загружался». Минимум символов, блокировка по таймауту, запрос пароля при выходе из спящего режима. Это не шифрование, от вытащенного диска не спасает, но от небрежного нашедшего - помогает.

Мы прошлись по парку мобильных машин у этого клиента и у ещё пары компаний, где ситуация была похожей. Картина при таком осмотре типовая: пароль BIOS - у двух из десяти, EFS - ни у кого, автоблокировка экрана - у половины, и то с таймаутом в полчаса.

Дорогих корпоративных продуктов для шифрования дисков мы здесь не касаемся - они есть, они полноценнее, но для большинства клиентов с десятком ноутбуков это избыточно по цене и сложности. Описанный минимум - пароль BIOS, EFS на папку с рабочими документами, внятный пароль учётки, блокировка экрана и дисциплина с тем, что вообще попадает на мобильную машину - это то, что реально внедрить за один день без бюджета.

Кражи не прекратятся. Ноутбуки будут продолжать оставлять в такси, поездах и переговорных. Вопрос только в том, что получит нашедший: зашифрованные папки с непробиваемым профилем или весь финансовый архив компании без каких-либо препятствий.

Контакт

Нужна такая же инженерная работа?

Опишите задачу и контекст. Ответим в течение рабочего дня, при необходимости подпишем NDA.