Защита хранения информации от рейдерства правоохранительных органов в Украине. Хранение информации за рубежом (в Нидерландах, США)
Вот, реально столкнувшись с тем, что следователи любого из правоохранительного органа (в моем случае - СБУ) могут возбудить дело по любому письму любого человека и начать его расследование. Даже не доказав, виновность, следователь имеет право у любого человека, кого считает даже "свидетелем" изымать всё, что захочет для "экспертизы". Т.е. к Вам может прийти следователь по надуманному делу, сказать, что Вы свидетель, не объяснить свидетель чего и в чем заключается дело и изъять Ваши средства производства, например, компьютеры, сервера, ноутбуки, деньги и т.п. Тем самым за пару часов развалить весь Ваш бизнес.... И такое в рельности происходит в Украине, особенно в последние пол-года. Настолько много таких случаев, что практически нет делового человека, которого не зацепил бы тот или иной правоохранительный орган. Не зависимо от того, честно Вы все ведете или нет...
Как правило, если Ваш бизнес интересный, то ждите "гостей" в виде правоохранителей. Эти гости придут от любого из Вашего конкурента, который хочет прихватить Ваш бизнес или которому Вы мешаете...
Столкнувшись с данной ситуацией "на своей шкуре", я начал способы защитить себя и информацию моих клиентов. Т.к. за каких-то пару часов СБУ взломало у меня в офисе дверь и изъяло все сервера, компьютеры, ноутбуки, накопители и т.п. При этом, поводом было то, что я свидетель и эта техника может иметь "склад злочину". При этом, понятно, что если бы в суде рассматривалось данное дело, то следователь был разбит в пух и прах, т.к. ВСЁ ЗАКОННО!!! Более того, дело приносило пользу государству, приносило дополнительные оплаченные налоги, приносило пользу населению страны, приносило пользу государственным органам и всем, всем, всем... До тех пор, пока начальнику "Державної інспекції сільського господарства" Поединку Николаю Сергеевичу не захотелось "срубить" из бюджета Украины невиданный для проекта за все время (более 5 лет) бюджет - 5 миллионов... Понятное дело, для этого, ему нужно было развалить всю систему автоматизации, базу данных и всю службу...
Но, это мой случай и об этом потом...
Итак, я начал искать способы защиты от рейдерства на информационные ресурсы компаний.
Понятное дело, защита постепенно усиливалась по мере увеличения нападок со стороны правоохранителей.
1 способ (который применял давно)
Во первых в качестве основной (хостовой) операционной системы я использовал Linux Ubuntu. Обработка же проводилась в виртуальных машинах. Это обеспечивало большую гибкость по переносу информационной системы с одного компьютера на другой и возможность резервного копирования всей виртуальной машины, со всеми настройками.
В Linux Ubuntu есть замечательная функция - криптование винчестера и учетных записей. Как результат, вся информация хранится в зашифрованном виде и не доступна, если снять винчестер, поставить в другую систему и пытаться достучаться к информации на прямую без знания паролей.
Это отличный способ защиты от прямого доступа к информации, когда сервер или компьютер был выключен..
На практике же возникло несколько недостатков:
1. Если криптовать винчестер и учетную запись, то может возникнуть сбой при котором не захочет восстанавливаться Swap-раздел. Как результат, возникнет проблема с запуском операционной системы. У меня такой случай был, поэтому, от этого способа я отказался, т.к. это приводило к понижению надежности системы с возможной потерей информации
2. При перезагрузке сервера, нужно вводить пароль. Это оказалось очень не удобным, т.к. если работаешь удаленно, и нет KVM, умеющего работать через интернет - систему не перезагрузишь на расстоянии...
3. Правоохранителей привлекает внимание данный раздел, они просят предоставить пароль... Зачем Вам лишние вопросы ?
4. При изъятии сервера, а это, как показала практика может сделать любой следователь по любому выдуманному и не доказанному делу (как я писал выше) Вы останетесь без информации, сервера и возможности работать на 1-2 года... Т.к. сроки "проведения экспертизы" ничем не ограничены... Часто технику не возвращают в течении многих лет... Т.е. когда вернут, устареет и техника и информация на ней... За это время, Ваш бизнес будет развален и Вам данная информация и техника уже и даром не нужны будут...
5. Нельзя перенести целый криптованный раздел с одного компьютера на другой. Или, например, его на винчестер - как резервную копию в шифрованном виде. Приходится перекриптовывать информацию, что значительно уменьшает скорость переноса информации на другие носители.
2 способ (который применял давно)
Немного модифицировал способ 1, реализовав криптование в файлах. В данном случае с помощью специальной программы, криптуется не весь винчестер, а только его часть и это сохраняется в виде файла крипто-контейнера на не шифрованном диске.
Т.к. диск в этом случае не шифруется полностью, при загрузке нет необходимости вводить пароль для дешифрации. Как результат - система перезагружается на расстоянии с корректным восстановлением возможности удаленного управления.
Кроме того, такая система надежней работает, чем с полностью криптованными дисками. Нас не страшит выход из строя криптованного раздела, например, Swap...
Такая система отлично себя зарекомендовала.
Но, на практике осталась одна основная проблема:
- Злоумышленники могут найти с легкостью Ваши сервера и такой же легкостью - изъять... Тем самым, Вы потеряете информацию и технику на 1-2 года... Т.е. развалится Ваш бизнес из-за полной или значительной потери информации.
3 способ (усовершенствованная методика)
Усовершенствованный 2 способ с хранением информации на ноутбуке (на смартфоне).
Современный технический уровень позволяет поднимать сервера на ноутбуках (думаю в ближайшее время уже можно будет - на смартфонах). Сейчас есть ноутбуки с 4-8 виртуальными процессорами и с 8-16 Гб оперативной памяти. При этом, стоимость их вполне приемлема, а скорость устроит работу малых и средних компаний до 40-50 человек. На таких ноутбуках можно разворачивать виртуальные машины и все необходимые сервисы.
Преимущество хранения информации на ноутбуке - это возможность подключения его в любой точке мира. И при возникновении угрозы - легкость переноса его в другое место.
Такой способ позволяет добиться максимальной гибкости переноса информации с точки на точку.
При этом, Вы можете создать несколько таких дублирующихся точек, которые будут размещены в разных местах. В таком случае, будет тяжело обнаружить все звенья хранения информации и "накрыть их" одним махом.
В данном случае, Вы получаете максимальную автономность решания, максимально возможную его перемещаемость и экономичность с точки зрения потребления электричества и цены решения.
Маленькие недостатки данного способа:
- Для крупных компаний ноутбук может быть недостаточным с точки зрения производительности.
- Винчестера ноутбуков, как правило, значительно медленнее, чем винчестера обычных компьютеров и тем более - серверов. Это может сказываться не набольших задержках при чтении/записи информации на винчестер.
- Узлы системы все же можно "вычислить" и если они находятся в Украине - накрыть "одним махом". Конечно, это на порядки сложней сделать, чем в предыдущем способе...
В целом, этот способ достаточно надежен и экономичен.
4 способ (максимальный уровень защищенности)
Основывается на 2 или 3 способе (все зависит от Ваших возможностей и желаний).
Для того, чтоб не изъяли Ваши сервера "по беспределу", необходимо, чтоб законы не позволяли это сделать. Понятное дело, в сегодняшнее время, Закон - это не то, что защищает народ Украины или его собственность... Законы пишутся в Украине под нужды олигархов и силовых органов. А это значит, что народ в этом случае - ничто... И каждого, государственная машина может раздавить, как букашку.
Но, информация не обязана храниться в Украине. А это значит, что мы можем выбрать такую страну, которая бы обеспечила нам максимальную защищенность нашей техники и информации...
Храним информацию способом 2 или 3 в Нидерладнах или США. И тем самым, достигаем поставленные нами цели...
Совмещение способов друг с другом
Понятное дело, чем больше дублирующихся серверов, тем выше надежность Вашей системы. Можно сервера объединять в кластер. Если Вы объедините в кластер Master-master, то еще и достигните дополнительной балансировки системы. Таким способом можно достичь практической "неубиваемости" системы, которая будет жить "в сети", сервера менять свои ip-адреса, работать через огромное количество прокси и не позволять "вычислить" и уничтожить все узлы...
Насколько много узлов и в каких странах создавать - это уже Ваше решение, зависящее от степени необходимой защиты информации и Ваших финансовых возможностей...
Как правило, если Ваш бизнес интересный, то ждите "гостей" в виде правоохранителей. Эти гости придут от любого из Вашего конкурента, который хочет прихватить Ваш бизнес или которому Вы мешаете...
Столкнувшись с данной ситуацией "на своей шкуре", я начал способы защитить себя и информацию моих клиентов. Т.к. за каких-то пару часов СБУ взломало у меня в офисе дверь и изъяло все сервера, компьютеры, ноутбуки, накопители и т.п. При этом, поводом было то, что я свидетель и эта техника может иметь "склад злочину". При этом, понятно, что если бы в суде рассматривалось данное дело, то следователь был разбит в пух и прах, т.к. ВСЁ ЗАКОННО!!! Более того, дело приносило пользу государству, приносило дополнительные оплаченные налоги, приносило пользу населению страны, приносило пользу государственным органам и всем, всем, всем... До тех пор, пока начальнику "Державної інспекції сільського господарства" Поединку Николаю Сергеевичу не захотелось "срубить" из бюджета Украины невиданный для проекта за все время (более 5 лет) бюджет - 5 миллионов... Понятное дело, для этого, ему нужно было развалить всю систему автоматизации, базу данных и всю службу...
Но, это мой случай и об этом потом...
Итак, я начал искать способы защиты от рейдерства на информационные ресурсы компаний.
Понятное дело, защита постепенно усиливалась по мере увеличения нападок со стороны правоохранителей.
1 способ (который применял давно)
Во первых в качестве основной (хостовой) операционной системы я использовал Linux Ubuntu. Обработка же проводилась в виртуальных машинах. Это обеспечивало большую гибкость по переносу информационной системы с одного компьютера на другой и возможность резервного копирования всей виртуальной машины, со всеми настройками.
В Linux Ubuntu есть замечательная функция - криптование винчестера и учетных записей. Как результат, вся информация хранится в зашифрованном виде и не доступна, если снять винчестер, поставить в другую систему и пытаться достучаться к информации на прямую без знания паролей.
Это отличный способ защиты от прямого доступа к информации, когда сервер или компьютер был выключен..
На практике же возникло несколько недостатков:
1. Если криптовать винчестер и учетную запись, то может возникнуть сбой при котором не захочет восстанавливаться Swap-раздел. Как результат, возникнет проблема с запуском операционной системы. У меня такой случай был, поэтому, от этого способа я отказался, т.к. это приводило к понижению надежности системы с возможной потерей информации
2. При перезагрузке сервера, нужно вводить пароль. Это оказалось очень не удобным, т.к. если работаешь удаленно, и нет KVM, умеющего работать через интернет - систему не перезагрузишь на расстоянии...
3. Правоохранителей привлекает внимание данный раздел, они просят предоставить пароль... Зачем Вам лишние вопросы ?
4. При изъятии сервера, а это, как показала практика может сделать любой следователь по любому выдуманному и не доказанному делу (как я писал выше) Вы останетесь без информации, сервера и возможности работать на 1-2 года... Т.к. сроки "проведения экспертизы" ничем не ограничены... Часто технику не возвращают в течении многих лет... Т.е. когда вернут, устареет и техника и информация на ней... За это время, Ваш бизнес будет развален и Вам данная информация и техника уже и даром не нужны будут...
5. Нельзя перенести целый криптованный раздел с одного компьютера на другой. Или, например, его на винчестер - как резервную копию в шифрованном виде. Приходится перекриптовывать информацию, что значительно уменьшает скорость переноса информации на другие носители.
2 способ (который применял давно)
Немного модифицировал способ 1, реализовав криптование в файлах. В данном случае с помощью специальной программы, криптуется не весь винчестер, а только его часть и это сохраняется в виде файла крипто-контейнера на не шифрованном диске.
Т.к. диск в этом случае не шифруется полностью, при загрузке нет необходимости вводить пароль для дешифрации. Как результат - система перезагружается на расстоянии с корректным восстановлением возможности удаленного управления.
Кроме того, такая система надежней работает, чем с полностью криптованными дисками. Нас не страшит выход из строя криптованного раздела, например, Swap...
Такая система отлично себя зарекомендовала.
Но, на практике осталась одна основная проблема:
- Злоумышленники могут найти с легкостью Ваши сервера и такой же легкостью - изъять... Тем самым, Вы потеряете информацию и технику на 1-2 года... Т.е. развалится Ваш бизнес из-за полной или значительной потери информации.
3 способ (усовершенствованная методика)
Усовершенствованный 2 способ с хранением информации на ноутбуке (на смартфоне).
Современный технический уровень позволяет поднимать сервера на ноутбуках (думаю в ближайшее время уже можно будет - на смартфонах). Сейчас есть ноутбуки с 4-8 виртуальными процессорами и с 8-16 Гб оперативной памяти. При этом, стоимость их вполне приемлема, а скорость устроит работу малых и средних компаний до 40-50 человек. На таких ноутбуках можно разворачивать виртуальные машины и все необходимые сервисы.
Преимущество хранения информации на ноутбуке - это возможность подключения его в любой точке мира. И при возникновении угрозы - легкость переноса его в другое место.
Такой способ позволяет добиться максимальной гибкости переноса информации с точки на точку.
При этом, Вы можете создать несколько таких дублирующихся точек, которые будут размещены в разных местах. В таком случае, будет тяжело обнаружить все звенья хранения информации и "накрыть их" одним махом.
В данном случае, Вы получаете максимальную автономность решания, максимально возможную его перемещаемость и экономичность с точки зрения потребления электричества и цены решения.
Маленькие недостатки данного способа:
- Для крупных компаний ноутбук может быть недостаточным с точки зрения производительности.
- Винчестера ноутбуков, как правило, значительно медленнее, чем винчестера обычных компьютеров и тем более - серверов. Это может сказываться не набольших задержках при чтении/записи информации на винчестер.
- Узлы системы все же можно "вычислить" и если они находятся в Украине - накрыть "одним махом". Конечно, это на порядки сложней сделать, чем в предыдущем способе...
В целом, этот способ достаточно надежен и экономичен.
4 способ (максимальный уровень защищенности)
Основывается на 2 или 3 способе (все зависит от Ваших возможностей и желаний).
Для того, чтоб не изъяли Ваши сервера "по беспределу", необходимо, чтоб законы не позволяли это сделать. Понятное дело, в сегодняшнее время, Закон - это не то, что защищает народ Украины или его собственность... Законы пишутся в Украине под нужды олигархов и силовых органов. А это значит, что народ в этом случае - ничто... И каждого, государственная машина может раздавить, как букашку.
Но, информация не обязана храниться в Украине. А это значит, что мы можем выбрать такую страну, которая бы обеспечила нам максимальную защищенность нашей техники и информации...
Храним информацию способом 2 или 3 в Нидерладнах или США. И тем самым, достигаем поставленные нами цели...
Совмещение способов друг с другом
Понятное дело, чем больше дублирующихся серверов, тем выше надежность Вашей системы. Можно сервера объединять в кластер. Если Вы объедините в кластер Master-master, то еще и достигните дополнительной балансировки системы. Таким способом можно достичь практической "неубиваемости" системы, которая будет жить "в сети", сервера менять свои ip-адреса, работать через огромное количество прокси и не позволять "вычислить" и уничтожить все узлы...
Насколько много узлов и в каких странах создавать - это уже Ваше решение, зависящее от степени необходимой защиты информации и Ваших финансовых возможностей...
Комментарии