Home
«Безопасность» = «Эффективность». Решаем простое уравнение со всеми известными
Андрей Ивахненко

«Безопасность» = «Эффективность». Решаем простое уравнение со всеми известными

Сегодня привычным инструментом вуза и научной организации является сервис проверки документов на наличие заимствований. В России и странах СНГ чаще всего используются продукты компании Антиплагиат — системы «Антиплагиат.ВУЗ», «Антиплагиат.Эксперт» и другие. Организация имеет подписку на выбранный сервис и может проверить в течение года определённое количество документов. При этом другие показатели сервиса, такие, как, например, количество пользователей, не ограничиваются.

Автор Андрей Ивахненкоруководитель отдела внедрения и эксплуатации компании Антиплагиат

Очевидно, что количество проверок документов на заимствования является ресурсом организации, и поэтому следует стремиться использовать их эффективно. Но на практике у администратора системы, назначенного руководством организации, не всегда находится возможность, чтобы заниматься администрированием полноценно. Свой ресурс — время — оказывается ценнее ресурса организации. При этом может возникать впечатление, что ничего страшного произойти не может: квоты хватает с приличным запасом.

В этой статье я расскажу о том, как подходят разработчики системы «Антиплагиат» к решению вопросов информационной безопасности, а также поделюсь некоторыми простыми рецептами, которые позволят практически предотвратить возникновение проблем с несанкционированным доступом и потерю контроля над интеллектуальной собственностью.

Как показали наши наблюдения, неэффективность в использовании проверок часто предвещает гораздо более серьёзные проблемы. Если администратор не наладит процесс, то рано или поздно учётные данные пользователей организации станут доступны третьим лицам. А это, в свою очередь, автоматически поставит под угрозу интеллектуальную собственность организации и — ещё неизвестно, что хуже, — пользователей сервиса.

С другой стороны, те же наблюдения показывают, что аккуратное следование нескольким очень простым правилам информационной безопасности позволит и уменьшить стоимость владения сервисом, и избежать рисков возникновения неприятных последствий.

Два основных канала нерационального использования проверок: получение доступа к аккаунтам пользователей, не являющихся сотрудниками организации (в этом случае все проверки, совершённые с этих аккаунтов, выполняются в интересах третьих лиц), и неэффективное использование системы сотрудниками организации (в этом случае некоторая часть проверок осуществляется в интересах третьих лиц или просто проверок осуществляется больше, чем необходимо для выполнения производственных задач данного сотрудника). Рассмотрим причины и последствия совершения нецелевых проверок, а также меры, которые существенно снижают риски компрометации учётных данных, риски утраты интеллектуальной собственности организации и её пользователей.

Предотвращение доступа к системе пользователей, не являющихся сотрудниками организации

Для аутентификации в системе «Антиплагиат» чаще всего используется пара e-mail и пароль. Пользователь вводит данные в браузере, браузер передаёт их в систему, и если пара известна системе, то пользователя пропускают в кабинет. Кажется, что пароль известен и пользователю, и системе и может быть скомпрометирован на обеих сторонах. Это может показаться удивительным, но на самом деле система «Антиплагиат» не хранит пароли пользователей! Точно так же, как не хранят их и другие профессионально разработанные интернет-сервисы. Вместо пароля в базе данных хранится результат вычисления хеш-функции от пароля. По хешу практически невозможно восстановить пароль пользователя.

Пользователь взаимодействует с сервером системы по защищённому протоколу HTTPS, при этом вся информация шифруется при передаче от браузера к серверу и обратно. Перехватить пароль посередине также практически невозможно. К паролю система предъявляет разумные требования по сложности. Пользователь сам задаёт пароль к своему входу в систему и разгласить его третьим лицам может только он, потому что кроме пользователя его никто не знает. Таким образом, пользователь должен нести полную ответственность при выявлении факта компрометации его учётных данных.

Борьба с умышленной компрометацией учётных данных пользователей — комплексная задача, протяжённая по времени. Прежде всего, ответственным за внедрение и эксплуатацию системы «Антиплагиат» сотрудникам необходимо проверить, что в системе не присутствуют учётные записи кафедр и других структурных подразделений. Как и в других информационных системах, пароль от учётной записи должен знать только один человек. Простое правило: одна учётная запись — один пользователь. Для того чтобы упростить жизнь пользователям, ИТ-департаменту организации нужно вести единый каталог пользователей в организации, и все системы должны проводить авторизацию с его помощью. Примеры каталогов: Active Directory, LDAP (пригодны для авторизации внутри контура организации), AD FS, Google Workspace, системы федеративной аутентификации FEDURUS и RUNNet (пригодны для авторизации пользователей во внешних системах).

Мы дополнительно усилили защиту аккаунта пользователя с ролью «Администратор» с помощью двухфакторной аутентификации (2ФА)[1]. Теперь для совершения некоторых действий (создание/пакетное создание/изменение пользователя; сброс пароля пользователю; разблокировка/восстановление пользователя; имперсонирование в пользователя) администратор должен ввести дополнительный код, генерируемый с помощью специального приложения на смартфоне пользователя с ролью «Администратор». Если 2ФА включена и настроена, то даже если злоумышленники завладеют учётными данными «Администратора», они не смогут завести новых или изменить существующих пользователей.

В последнее время администраторы систем всё чаще стали подвергаться фишинговым атакам. Например, к администратору поступает электронное письмо за подписью одного из руководителей организации (ректора, профильного проректора и т. п.), руководителя структурного подразделения или даже от службы технической поддержки системы «Антиплагиат» с просьбой предоставить доступ списку лиц или создать техническую учётную запись. Естественно, письмо фальшивое — и в случае выполнения сотрудниками такой «заявки» злоумышленники получают в своё распоряжение несколько учётных записей, а иногда даже и учётную запись пользователя с ролью «Администратор». Для предотвращения подобных случаев сотрудникам, ответственным за подключение новых пользователей к системе «Антиплагиат», необходимо правильно организовать порядок предоставления доступа к системе[2], исключив возможность получения заявок по почте или телефону от людей, верифицировать положение которых в организации затруднительно.

Электронная почта не является надёжной системой, и мы сталкивались с тем, что почтовый сервер организации был сконфигурирован так, что принимал письма с поддельным адресом отправки без каких-либо пометок. Чтобы уменьшить число фишинговых писем, с конца 2021 года в системе «Антиплагиат» больше не показываются контактные данные администраторов, отвечающих за подключение новых пользователей. Мы предусмотрели возможность информировать новых пользователей о последовательности действий для создания учётной записи и рекомендуем воспользоваться ею для указания регламента подключения новых пользователей через внутренние системы документооборота организации.

Ещё одна возможность появления пользователя, не являющегося сотрудником организации, — процедура увольнения. Если не используется авторизация через общий каталог пользователей организации (мы предполагаем, что информация об увольнении сотрудника вносится туда своевременно), то велик риск, что учётная запись уволившегося сотрудника не будет заблокирована.

Предотвращение неэффективного использования системы сотрудниками организации

Каждый пользователь, авторизовавшийся в системе «Антиплагиат», соглашается с «Принципами добросовестной работы»[3]. Эти принципы работы нацелены на достижение следующих результатов:

  1. эффективное использование проверок, выделенных на организацию в соответствии с договором, и предотвращение нецелевого расходования проверок,
  2. усиление безопасности персональных данных и учётных записей легитимных пользователей и предотвращение их передачи третьим лицам,
  3. защиту документов и отчётов пользователя от несанкционированных действий третьих лиц (копирования, удаления и других действий с документами).

В случае нарушения пользователем «Принципов добросовестной работы» аккаунт пользователя автоматически ограничивается. Администратор системы может снять ограничение. Мы рекомендуем администраторам перед снятием ограничения провести анализ действий пользователя и в случае обнаружения неправомерного использования системы (в пользу третьих лиц) довести этот факт до сведения ответственных лиц организации.

Рекомендуем провести профилактическую беседу с пользователем о недопустимости недобросовестного использования системы. В случае компрометации учётных данных (логин и пароль стали известны третьим лицам) необходимо провести сброс пароля, после чего разблокировать пользователя. В ближайшем будущем в системе будет реализована функциональность принудительного сброса пароля при разблокировании пользователей, нарушивших «Принципы добросовестной работы».

В основе работы механизма ограничения пользователя за недобросовестное использование системы лежит машинное обучение с подкреплением. Это значит, что алгоритм ограничения устроен как нейронная сеть (к сожалению, он не может быть представлен в виде простых правил, понятных человеку) и постоянно дообучается на свежих примерах недобросовестного использования.

Если в организации используется интеграция с информационной системой с помощью API, то на этапе проектирования и реализации интеграции необходимо озаботиться тем, чтобы в систему «Антиплагиат» из внешней системы передавался параметр External User ID. Это идентификатор пользователя, загрузившего работу, в системе, которая вызывает «Антиплагиат». Благодаря этому идентификатору система различает пользователей и блокирует их в случае выявления действий, нарушающих «Принципы добросовестной работы» в системе «Антиплагиат».

В 2020 году в системе «Антиплагиат» появился механизм выделения квот на проверки[4]. Этот механизм ограничивает максимальное число проверок, которое может совершить пользователь. Если использовать этот механизм, то можно быть уверенным, что даже при компрометации учётных данных одного из пользователей системы злоумышленники не смогут потратить все проверки организации или значительную их долю. В системе есть квота проверок по умолчанию, которая действует для всех пользователей, кому не назначена индивидуальная квота. Механизм похож на лимиты трат по банковским картам, он позволяет ограничить возможные потери в случае компрометации. Кроме того, механизм квот помогает точнее прогнозировать необходимое число проверок для организации.

Необходимые действия для контроля эффективности использования системы

Чтобы эффективность использования системы была на высоком уровне, сотрудникам организации, отвечающим за внедрение и эксплуатацию системы «Антиплагиат», необходимо провести предварительные настройки и наладить регулярное проведение ряда мероприятий.

  1. Установка индивидуальных квот и квоты по умолчанию. Необходимо проверять, выставлена ли квота по умолчанию, и устанавливать индивидуальные квоты для пользователей, которые по объективным причинам совершают больше проверок, чем обычный пользователь.
  2. Авторизация с использованием единого каталога пользователей компании. Если есть возможность, то рекомендуем реализовать авторизацию пользователей с помощью каталога пользователей, используемого в организации (Active Directory, LDAP, AD FS и прочих). Это избавит администраторов системы от обязанности выдавать доступ к учётным записям системы и позволит своевременно блокировать доступ уволенным сотрудникам.
  3. Своевременное отключение уволенных пользователей от системы. Если нет интеграции с каталогом пользователей компании, то необходимо наладить взаимодействие с отделом кадров организации и блокировать учётные записи уволившихся сотрудников и выпустившихся студентов.
  4. Регулярный контроль количества пользователей с ролью «Администратор». Число администраторов системы должно быть минимально необходимым. Важно не менее двух раз в год проверять список администраторов системы и контролировать, нет ли среди пользователей ушедших в декрет, сменивших должность, уволенных сотрудников и т. п.
  5. Регулярный контроль пользователей, совершающих больше всего проверок. Необходимо не реже раза в месяц (а во время сезона активных проверок не менее раза в неделю) просматривать отчёт «Интенсивность работы пользователей»[5]. Отсортируйте пользователей по числу проверок за последний месяц и проанализируйте, какие именно документы проверяют пять первых по этому показателю пользователей.
  6. Разблокировка пользователя, заблокированного за нарушение «Принципов добросовестной работы», только после анализа действий этого пользователя. Для анализа действий пользователя используется учётную запись с ролью «Супервизор». Данная роль предназначена специально для анализа действий пользователей и содержит уникальные отчёты[6] по действиям пользователей в системе. Также необходимо проверять содержимое документов, которые проверял заблокированный пользователь. В случае существенного расхождения тематики проверяемых документов и направления деятельности сотрудника важно донести эту информацию до сведения ответственных лиц организации.

Заключение

Мы рассмотрели две основные причины нерациональной траты проверок на заимствования системы «Антиплагиат» в организациях. В заключении хотелось бы подчеркнуть, что перерасход бюджета — это не самое страшное. Гораздо более серьёзный урон может быть нанесён из-за получения доступа лицами, не являющимися сотрудниками организации, к кабинетам пользователей или, ещё хуже, к административной панели. Такой доступ может привести к утечкам интеллектуальной собственности организации и персональных данных её сотрудников, что может быть многократно хуже материальных потерь. К сожалению, такие случаи происходят слишком часто, чтобы не уделять должного внимания информационной безопасности.

Ссылки

  1. Подробнее см.: https://docs.antiplagiat.ru/ru/html/vuz_administrator_guide.html#2fa.
  2. Методические рекомендации по эффективному внедрению и использованию системы «Антиплагиат.ВУЗ»: учебно-методическое пособие / Ю. В. Чехович, О. С. Беленькая, А. А. Ивахненко. — Санкт-Петербург: Лань, 2020. — 48 с. — ISBN 978-5-8114-6837-9. — Текст: электронный // Лань: электронно-библиотечная система. — URL: https://e.lanbook.com/book/154156 (дата обращения: 19.08.2021).
  3. Подробнее см.: https://www.antiplagiat.ru/help/manifest.
  4. Подробнее о распределении квот см.: «Руководство администратора корпоративной версии системы “Антиплагиат.ВУЗ”» https://docs.antiplagiat.ru/ru/html/vuz_administrator_guide.html#billing-kvoti-na-proverki.
  5. Подробнее см.: https://docs.antiplagiat.ru/ru/html/vuz_administrator_guide.html#intensivnost-raboty-polzovateley.
  6. Подробнее см.: https://docs.antiplagiat.ru/ru/html/vuz_supervisor_guide.html#zhurnal-bezopasnosti-companii.

Материал впервые опубликован в информационно-аналитическом журнале «Университетская книга».

Биолог, популяризатор биологии; член Королевского биологического общества; член технической команды сайта Совета по этике научных публикаций

Leave a Comment

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.