Сегодня привычным инструментом вуза и научной организации является сервис проверки документов на наличие заимствований. В России и странах СНГ чаще всего используются продукты компании Антиплагиат — системы «Антиплагиат.ВУЗ», «Антиплагиат.Эксперт» и другие. Организация имеет подписку на выбранный сервис и может проверить в течение года определённое количество документов. При этом другие показатели сервиса, такие, как, например, количество пользователей, не ограничиваются.
Автор Андрей Ивахненко, руководитель отдела внедрения и эксплуатации компании Антиплагиат
Очевидно, что количество проверок документов на заимствования является ресурсом организации, и поэтому следует стремиться использовать их эффективно. Но на практике у администратора системы, назначенного руководством организации, не всегда находится возможность, чтобы заниматься администрированием полноценно. Свой ресурс — время — оказывается ценнее ресурса организации. При этом может возникать впечатление, что ничего страшного произойти не может: квоты хватает с приличным запасом.
В этой статье я расскажу о том, как подходят разработчики системы «Антиплагиат» к решению вопросов информационной безопасности, а также поделюсь некоторыми простыми рецептами, которые позволят практически предотвратить возникновение проблем с несанкционированным доступом и потерю контроля над интеллектуальной собственностью.
Как показали наши наблюдения, неэффективность в использовании проверок часто предвещает гораздо более серьёзные проблемы. Если администратор не наладит процесс, то рано или поздно учётные данные пользователей организации станут доступны третьим лицам. А это, в свою очередь, автоматически поставит под угрозу интеллектуальную собственность организации и — ещё неизвестно, что хуже, — пользователей сервиса.
С другой стороны, те же наблюдения показывают, что аккуратное следование нескольким очень простым правилам информационной безопасности позволит и уменьшить стоимость владения сервисом, и избежать рисков возникновения неприятных последствий.
Два основных канала нерационального использования проверок: получение доступа к аккаунтам пользователей, не являющихся сотрудниками организации (в этом случае все проверки, совершённые с этих аккаунтов, выполняются в интересах третьих лиц), и неэффективное использование системы сотрудниками организации (в этом случае некоторая часть проверок осуществляется в интересах третьих лиц или просто проверок осуществляется больше, чем необходимо для выполнения производственных задач данного сотрудника). Рассмотрим причины и последствия совершения нецелевых проверок, а также меры, которые существенно снижают риски компрометации учётных данных, риски утраты интеллектуальной собственности организации и её пользователей.
Для аутентификации в системе «Антиплагиат» чаще всего используется пара e-mail и пароль. Пользователь вводит данные в браузере, браузер передаёт их в систему, и если пара известна системе, то пользователя пропускают в кабинет. Кажется, что пароль известен и пользователю, и системе и может быть скомпрометирован на обеих сторонах. Это может показаться удивительным, но на самом деле система «Антиплагиат» не хранит пароли пользователей! Точно так же, как не хранят их и другие профессионально разработанные интернет-сервисы. Вместо пароля в базе данных хранится результат вычисления хеш-функции от пароля. По хешу практически невозможно восстановить пароль пользователя.
Пользователь взаимодействует с сервером системы по защищённому протоколу HTTPS, при этом вся информация шифруется при передаче от браузера к серверу и обратно. Перехватить пароль посередине также практически невозможно. К паролю система предъявляет разумные требования по сложности. Пользователь сам задаёт пароль к своему входу в систему и разгласить его третьим лицам может только он, потому что кроме пользователя его никто не знает. Таким образом, пользователь должен нести полную ответственность при выявлении факта компрометации его учётных данных.
Борьба с умышленной компрометацией учётных данных пользователей — комплексная задача, протяжённая по времени. Прежде всего, ответственным за внедрение и эксплуатацию системы «Антиплагиат» сотрудникам необходимо проверить, что в системе не присутствуют учётные записи кафедр и других структурных подразделений. Как и в других информационных системах, пароль от учётной записи должен знать только один человек. Простое правило: одна учётная запись — один пользователь. Для того чтобы упростить жизнь пользователям, ИТ-департаменту организации нужно вести единый каталог пользователей в организации, и все системы должны проводить авторизацию с его помощью. Примеры каталогов: Active Directory, LDAP (пригодны для авторизации внутри контура организации), AD FS, Google Workspace, системы федеративной аутентификации FEDURUS и RUNNet (пригодны для авторизации пользователей во внешних системах).
Мы дополнительно усилили защиту аккаунта пользователя с ролью «Администратор» с помощью двухфакторной аутентификации (2ФА)[1]. Теперь для совершения некоторых действий (создание/пакетное создание/изменение пользователя; сброс пароля пользователю; разблокировка/восстановление пользователя; имперсонирование в пользователя) администратор должен ввести дополнительный код, генерируемый с помощью специального приложения на смартфоне пользователя с ролью «Администратор». Если 2ФА включена и настроена, то даже если злоумышленники завладеют учётными данными «Администратора», они не смогут завести новых или изменить существующих пользователей.
В последнее время администраторы систем всё чаще стали подвергаться фишинговым атакам. Например, к администратору поступает электронное письмо за подписью одного из руководителей организации (ректора, профильного проректора и т. п.), руководителя структурного подразделения или даже от службы технической поддержки системы «Антиплагиат» с просьбой предоставить доступ списку лиц или создать техническую учётную запись. Естественно, письмо фальшивое — и в случае выполнения сотрудниками такой «заявки» злоумышленники получают в своё распоряжение несколько учётных записей, а иногда даже и учётную запись пользователя с ролью «Администратор». Для предотвращения подобных случаев сотрудникам, ответственным за подключение новых пользователей к системе «Антиплагиат», необходимо правильно организовать порядок предоставления доступа к системе[2], исключив возможность получения заявок по почте или телефону от людей, верифицировать положение которых в организации затруднительно.
Электронная почта не является надёжной системой, и мы сталкивались с тем, что почтовый сервер организации был сконфигурирован так, что принимал письма с поддельным адресом отправки без каких-либо пометок. Чтобы уменьшить число фишинговых писем, с конца 2021 года в системе «Антиплагиат» больше не показываются контактные данные администраторов, отвечающих за подключение новых пользователей. Мы предусмотрели возможность информировать новых пользователей о последовательности действий для создания учётной записи и рекомендуем воспользоваться ею для указания регламента подключения новых пользователей через внутренние системы документооборота организации.
Ещё одна возможность появления пользователя, не являющегося сотрудником организации, — процедура увольнения. Если не используется авторизация через общий каталог пользователей организации (мы предполагаем, что информация об увольнении сотрудника вносится туда своевременно), то велик риск, что учётная запись уволившегося сотрудника не будет заблокирована.
Каждый пользователь, авторизовавшийся в системе «Антиплагиат», соглашается с «Принципами добросовестной работы»[3]. Эти принципы работы нацелены на достижение следующих результатов:
В случае нарушения пользователем «Принципов добросовестной работы» аккаунт пользователя автоматически ограничивается. Администратор системы может снять ограничение. Мы рекомендуем администраторам перед снятием ограничения провести анализ действий пользователя и в случае обнаружения неправомерного использования системы (в пользу третьих лиц) довести этот факт до сведения ответственных лиц организации.
Рекомендуем провести профилактическую беседу с пользователем о недопустимости недобросовестного использования системы. В случае компрометации учётных данных (логин и пароль стали известны третьим лицам) необходимо провести сброс пароля, после чего разблокировать пользователя. В ближайшем будущем в системе будет реализована функциональность принудительного сброса пароля при разблокировании пользователей, нарушивших «Принципы добросовестной работы».
В основе работы механизма ограничения пользователя за недобросовестное использование системы лежит машинное обучение с подкреплением. Это значит, что алгоритм ограничения устроен как нейронная сеть (к сожалению, он не может быть представлен в виде простых правил, понятных человеку) и постоянно дообучается на свежих примерах недобросовестного использования.
Если в организации используется интеграция с информационной системой с помощью API, то на этапе проектирования и реализации интеграции необходимо озаботиться тем, чтобы в систему «Антиплагиат» из внешней системы передавался параметр External User ID. Это идентификатор пользователя, загрузившего работу, в системе, которая вызывает «Антиплагиат». Благодаря этому идентификатору система различает пользователей и блокирует их в случае выявления действий, нарушающих «Принципы добросовестной работы» в системе «Антиплагиат».
В 2020 году в системе «Антиплагиат» появился механизм выделения квот на проверки[4]. Этот механизм ограничивает максимальное число проверок, которое может совершить пользователь. Если использовать этот механизм, то можно быть уверенным, что даже при компрометации учётных данных одного из пользователей системы злоумышленники не смогут потратить все проверки организации или значительную их долю. В системе есть квота проверок по умолчанию, которая действует для всех пользователей, кому не назначена индивидуальная квота. Механизм похож на лимиты трат по банковским картам, он позволяет ограничить возможные потери в случае компрометации. Кроме того, механизм квот помогает точнее прогнозировать необходимое число проверок для организации.
Чтобы эффективность использования системы была на высоком уровне, сотрудникам организации, отвечающим за внедрение и эксплуатацию системы «Антиплагиат», необходимо провести предварительные настройки и наладить регулярное проведение ряда мероприятий.
Мы рассмотрели две основные причины нерациональной траты проверок на заимствования системы «Антиплагиат» в организациях. В заключении хотелось бы подчеркнуть, что перерасход бюджета — это не самое страшное. Гораздо более серьёзный урон может быть нанесён из-за получения доступа лицами, не являющимися сотрудниками организации, к кабинетам пользователей или, ещё хуже, к административной панели. Такой доступ может привести к утечкам интеллектуальной собственности организации и персональных данных её сотрудников, что может быть многократно хуже материальных потерь. К сожалению, такие случаи происходят слишком часто, чтобы не уделять должного внимания информационной безопасности.
Материал впервые опубликован в информационно-аналитическом журнале «Университетская книга».
Leave a Comment
Для отправки комментария вам необходимо авторизоваться.