Gdy informacja wycieka przez ściany

Szumią także zwykłe komputery

Gdy informacja wycieka przez ściany

Obraz oryginalny oraz odebrana emisja ujawniająca

Oprócz pojedynczego pomieszczenia serwerowni, które stosunkowo łatwo można zaekranować, dużym problemem jest emisja ujawniająca ze stacji roboczych. Wbrew utartej opinii, najpoważniejszym źródłem emisji nie jest panel LCD notebooka czy jego procesor, ale przewody łączące moduł wideo z panelem. Są dość długie, nie ekranowane, dzięki czemu łatwo emitują informację. Przechwycenie takiej emisji z odległości kilkunastu metrów jest możliwe nawet przy pomocy amatorskiego odbiornika, narzędzia próbkowania danych (przetwornik A/D) i oprogramowania EckBox (dostępnego na licencji open source). Przykładowa prezentacja, która została pokazana w październiku 2008 r. w Rydze, udowadnia, że sygnał ten jest bardzo silny. W odległości 10 m (przez ścianę kartonowo-gipsową), jest to ponad dwadzieścia mikrowoltów przy częstotliwości rzędu 350 MHz (pasmo 50 MHz). Przy zastosowaniu anten kierunkowych odebranie takiej emisji z odległości rzędu 20 m nie jest niczym niezwykłym. Szczegóły można znaleźć na stronie 1010.co.uk.

Należy pamiętać, że nie tylko notebooki mogą emitować sygnał wideo. Komputery stacjonarne mają dość długie kable VGA, łączące stację roboczą z monitorem. Jeśli są one niezbyt dobrze ekranowane, mogą emitować jeszcze mocniejsze zakłócenia niż laptopy. Drukarki również mogą wysyłać sygnały, szczególnie dotyczy to drukarek laserowych. Gdyby zwizualizować odebrany sygnał, wyglądałby on tak, że każda zadrukowana kreska, litera czy punkt jest przedstawiony tak, jakby był obrysowany. "Wyciszona" drukarka jest sporo droższa od zwykłej, dlatego warto kupić znacznie tańszą obudowę zapewniającą ekranowanie drukarki - wtedy nawet zwykła drukarka laserowa spełni ostre normy poufności.

Przy przetwarzaniu szczególnie wrażliwych informacji należy używać certyfikowanych stacji roboczych wraz z właściwymi kablami. Całe pomieszczenie powinno być odpowiednio chronione, wliczając okna. Najprostszym sposobem jest ekranowanie w opisany sposób, z tym, że w oknach powinna być umieszczona drobna miedziana siatka, szczelnie łącząca się z ekranem.

Certyfikat poufności

Firmy, które przetwarzają informacje niejawne, potrzebują rozwiązań, które są nie tylko skuteczne, ale także posiadają odpowiedni certyfikat. Przykładem może być polski kontener sztabowy produkowany przez firmę ZURAD. Jest to gotowe, klimatyzowane pomieszczenie, które oprócz ochrony przed tradycyjnym podsłuchem, zawiera ochronę przed przechwyceniem danych emitowanych przez komputery wewnątrz. Jak podaje producent, kontener ten został wykonany w technologii TEMPEST i spełnia wymagania dotyczące tłumienności ekranujących określone dla klasy B1 wg normy NO-06-A201. Pomieszczenie, w którym przetwarzane są informacje niejawne, powinno być chronione zgodnie z ostrzejszymi wymaganiami niż regulacje wewnętrzne przedsiębiorstwa.

Szczegóły działania kancelarii tajnych określają przepisy, z których warto wymienić ustawę z 22 stycznia 1999 r. o ochronie informacji niejawnych; rozporządzenie Rady Ministrów z 9 lutego1999 r. w sprawie organizacji kancelarii tajnych; rozporządzenie Ministrów Spraw Wewnętrznych i Administracji oraz Obrony Narodowej z 26 lutego 1999 r. w sprawie trybu i sposobu przyjmowania, przewożenia, wydawania i ochrony materiałów; a także rezolucję Rady Europy z 28 stycznia 2002 r. w sprawie wspólnego podejścia i określenia działań dotyczących bezpieczeństwa informacji oraz sieci komputerowych opublikowaną w zestawieniu komunikatów 2002/C 43/02.

Oprócz odpowiednich pomieszczeń spełniających ostre kryteria bezpieczeństwa, niezbędne jest wyposażenie zgodne z normami ochrony elektromagnetycznej. Wyposażenie pomieszczeń przetwarzających informacje niejawne jest dość kosztowne, ale jeśli informacja ma być chroniona poprawnie, te pieniądze trzeba wydać. Argumenty finansowe, w rodzaju zwrotu z inwestycji, nie mają sensu w przypadku informacji niejawnych. W przypadku naruszeń bezpieczeństwa takiej informacji, także w sposób nieumyślny, mają zastosowania przepisy z rozdziału XXXIII Kodeksu Karnego, w szczególności Art. 265 par 3 KK.


TOP 200