Jak się zabezpieczyć

Istnieje kilka sposobów ochrony przed zjawiskiem ulotu informacji w drodze emisji elektromagnetycznej. Jeden z nich to stosowanie technologii i urządzeń ekranujących.

Na mniejszą skalę można stosować np. specjalne obudowy, w których są zabudowane urządzenia przetwarzające informacje. Zaawansowane rozwiązania obejmują kabiny lub specjalne kontenery, gdzie umieszczane są urządzenia przetwarzające informacje. Ekranowanie można też zapewnić wyklejając ściany pomieszczeń metalowymi foliami i siatkami.

Zobacz również:

• Przeglądarka Chrome będzie jeszcze jakiś czas akceptować pliki cookie

Na rynku są też urządzenia wyposażone w szerokopasmowe generatory, które blokują możliwość wycieku informacji wytwarzając tzw. szum elektromagnetyczny, który uniemożliwia (bądź znacznie utrudnia) odfiltrowanie z odbieranego sygnału pożądanej informacji. Wreszcie, są też urządzenia zgodne ze standardem TEMPEST (Temporary Emanation and Spurious Transmission). To rozpoczęty jeszcze na początku lat 50. amerykański program badawczy, którego głównym celem było wyznaczenie standardów dotyczących poziomu elektrycznej i elektromagnetycznej radiacji dla sprzętu elektronicznego zapewniającego poufność przetwarzanej informacji. Przez wiele lat opracowane w ramach tego projektu standardy ulegały wielu zmianom i były publikowane pod różnymi nazwami: NAG1A, FS222, NACSIM 5100 i NSCD.

Termin TEMPEST jest jednak również często używany w szerszym znaczeniu dla całego obszaru zagrożeń wynikających z ulotu informacji za pośrednictwem fal elektromagnetycznych. Za równo normy, jak i technologia wytwarzania sprzętu klasy TEMPEST do dziś nie jest w pełni jawna, lecz już w latach 70. zezwolono firmom prywatnym na jego produkcję. Producent sprzętu klasy TEMPEST podlega nadzorowi służb specjalnych w zakresie warunków dotyczących produkcji, wyposażenia laboratoriów pomiarowych oraz specjalistycznych szkoleń dla pracowników. Zgodnie z tajną instrukcją NACSI (ang. National Communication Security Instruction) 5004 określającą środki bezpieczeństwa wymagane dla urządzeń przetwarzających dane o istotnym znaczeniu dla bezpieczeństwa Stanów Zjednoczonych nadzorem nad produkcją urządzeń klasy TEMPEST oraz testowaniem i pomiarami sprawuje Agencja Bezpieczeństwa Narodowego.

NSA jest również odpowiedzialna za przygotowanie zaleceń oraz norm składających się na politykę aktywnego zabezpieczania przed emisją ujawniającą. Dany wyrób po przejściu procesu certyfikacji zostaje przez NSA umieszczony na Liście Zatwierdzonych Wyrobów TEMPEST, a następnie na NATO-wskiej Liście Zalecanych Wyrobów TEMPEST. Niektóre informacje o normach EMPEST przestały być niejawne w 1995 roku, a sam standard NSTISSAM TEMPEST/1-92 został upubliczniony. Jednakże szczegółowe parametry i techniki oraz normy testowania pozostają w dalszym ciągu niejawne.

Organem upoważnionym w Polsce do przeprowadzania badań i certyfikacji wyrobów o przeznaczeniu specjalnym (tj. urządzeń, oprogramowania i podsystemów zabezpieczeń systemów teleinformatycznych przeznaczonych do ochrony informacji niejawnej) jest Jednostka Certyfikująca Departamentu Bezpieczeństwa Teleinformatycznego Agencji Bezpieczeństwa Wewnętrznego. Wykaz certyfikowanych urządzeń pod nazwą „Lista Typów Środków Ochrony Elektromagnetycznej Posiadających Certyfikaty Jednostki Certyfikującej DBTI ABW” jest jawna i publikowana na stronie ABW www.abw.gov.pl.

Dobór sprzętu klasy TEMPEST

Sprzęt taki jest zwykle zbudowany na bazie standardowych rozwiązań sprzętowych czołowych producentów IT, które są modyfikowane tak, aby spełniały wymagania określonego poziomu radiacji bądź są opracowywane pod indywidualne potrzeby klienta. Klasa bezpieczeństwa urządzenia świadczy o stopniu jego zabezpieczenia przed niepożądaną emisją ujawniającą. Produkcja wyposażenia urządzeń w tym standardzie musi być prowadzona w ścisłym reżimie jakościowym, aby była pewność, iż każda część jest zabudowa dokładnie tak samo jak części, które zostały poddane testowi. Zmiana nawet pojedynczego elementu może bowiem unieważnić certyfikację sprzętu. Jednym z najistotniejszych aspektów tej technologii jest zapewnienie minimalnej korelacji między wypromieniowaną energią, wykrywalnymi emisjami a danymi, które są przetwarzane w danym urządzeniu.

Oferta producentów obejmuje podstawowe urządzenia teleinformatyczne, np. stacjonarne zestawy komputerowe wyposażone w specjalne klawiatury i myszki, monitory, urządzenia peryferyjne (drukarki, skanery, plotery), a nawet zasilacze bezprzerwowe UPS. W standardzie tym produkuje się również komputery przenośne i sprzęt sieciowy – serwery, przełączniki wieloportowe oraz routery, które pozwalają stworzyć bezpieczną sieć lokalną.

Ceny urządzeń mogą być nawet kilkukrotnie wyższe od standardowych rozwiązań o tej samej konfiguracji, co jest spowodowane koniecznością zachowania wysokich reżimów produkcji i specjalistycznych procedur testowych.