URZĄDZENIA KLASY TEMPEST
 

  Każde urządzenie przez który płynie prąd, jest źródłem promieniowania elektromagnetycznego. Tak samo jest w przypadku komputera. 
Przepływ danych generuje promieniowanie elektromagnetyczne o określonej częstotliwości, głównie poprzez monitor – bez względu na to czy jest to tradycyjny ekran telewizyjny, czy monitor laptopa. Emisja promieniowania odbywa się również przez kable, gniazda, porty, drukarki, skanery. Sygnał jest także emitowany do sieci energetycznej, z której komputer jest zasilany. Każdy z tych sygnałów niesie ze sobą pewne informację. Wystarczy tylko ją odczytać. 


Promieniowanie komputera jest na tyle silne, że za pomocą specjalnego urządzenia można je odebrać z odległości kilkuset metrów (nawet do tysiąca). Używane są przez służby specjalne wszystkich krajów świata. Urządzenia te nie występują w katalogach, a ich sprzedaż podlega restrykcjom.
Są na tyle małe, że mieszczą się w samochodzie osobowym. Sygnał z anteny trafia do bardzo czułego odbiornika różnych częstotliwości w zakresie od 10 KHz do 5 GHz. Sygnały są obrabiane przez odpowiednie oprogramowanie, a informacje oddzielane są /filtrowane/ od szumów; następnie konwertowane na odpowiednie programy komputerowe - pozwalające odczytać dane - np. Word. 
Informacje z komputera można odczytać poprzez wykorzystanie specjalnie przystosowanych anten oraz wykorzystując np. sieć wodną, elektryczną, grzewczą, oraz przewody klimatyzacyjne.

Metody zabezpieczeń przed zjawiskiem promieniowania elektromagnetycznego są różne: 

punktor

kabiny elektromagnetyczne /tzw. klatki Farradaya/, w których umieszczane są urządzenia przetwarzające informacje niejawne - są odpowiednio uziemione i poziom promieniowania elektromagnetycznego wychodzący na zewnątrz jest tak niski, że nie jest możliwe jego odczytanie;

punktor

wyklejanie ścian pomieszczeń metalowymi foliami i siatkami, spełniającymi podobną rolę, ale parametry tego zabezpieczenia są nieco niższe niż w przypadku klatek;

punktor

metalowe pudełka, w których umieszcza się sprzęt, emitujący promieniowanie. Mogą być to nie tylko komputery, ale także urządzenia nadawczo — odbiorcze lub szyfratory;

punktor

zabezpieczenie komputerów przenośnych, według amerykańskich norm TEMPEST.

Norma TEMPEST (temporary emanation and spurious transmission) została nadana programowi ochrony przed niekontrolowaną emisją ujawniającą, który powstał w latach 50-tych w USA na zlecenie Pentagonu. Na przestrzeni lat standard ten był wielokrotnie rewidowany i publikowany pod różnymi nazwami /NAG1A, FS222, NACSIM 5100, NSCD, /. 
W roku 1984 stworzona została instrukcja NACSI (National Security Instruction) 5004. Jest ona klasyfikowana jako tajna i określa procedury dla wydziałów oraz przedstawicielstw mające na celu określenie środków bezpieczeństwa wymaganych dla urządzeń przetwarzających dane o znaczeniu dla bezpieczeństwa narodowego Stanów Zjednoczonych. W wyniku decyzji zawartej w dyrektywie 145 (17.09.1984) Narodowa Agencja Bezpieczeństwa (NSA) Stanów Zjednoczonych została wyznaczona na centrum oraz jednostki zarządzającą bezpieczeństwem telekomunikacji rządowej oraz Automatycznych Systemów Informatycznych (Automates Information Systems - AISs). Jest ona upoważniona do rewidowania oraz przyjmowania wszystkich standardów, systemów oraz sprzętu związanych z bezpieczeństwem AIS, w tym z zagadnieniami rodziny TEMPEST. 
NSA tworzy również zalecenia oraz normy składające się na politykę TEMPEST - aktywnego zabezpieczania przed emisją ujawniającą.

Zarówno normy jak i technologia wytwarzania sprzętu klasy TEMPEST są utajnione, lecz pod koniec lat 70-tych umożliwiono jego wytwarzanie producentom prywatnym. Program TEMPEST nadzoruje Agencja Bezpieczeństwa Narodowego (NSA) Stanów Zjednoczonych, a produkcja sprzętu, laboratoria pomiarowe oraz specjaliści podlegają rygorystycznej okresowej certyfikacji.

Producent, który chce wytwarzać sprzęt klasy TEMPEST musi spełniać szereg uwarunkowań:

punktor

zawarcie umowy z NSA o przystąpieniu do programu TEMPEST (przed jej podpisaniem następuje między innymi sprawdzenie zakładu oraz jego personelu pod kątem spełnienia warunków bezpieczeństwa);

punktor

uzyskanie certyfikatu NSA dotyczącego spełnienia przez zakład warunków dla produkcji sprzętu;

punktor

uzyskanie certyfikatu NSA dla laboratoriów pomiarowych;

punktor

uzyskanie certyfikatu specjalizacji TEMPEST dla personelu technicznego;

punktor

zgłoszenie wyrobu do certyfikacji przez NSA, jeśli jej wynik jest pozytywny produkt zostaje umieszczony na Liście Zatwierdzonych Wyrobów TEMPEST NSA (TEMPEST Approved Product List), a następnie na NATO-wskiej Liście Zalecanych Wyrobów Tempest (NATO Recommended Product List) publikowanej przez Pentagon.

NSA prowadzi ścisłą kontrolę przestrzegania zasad bezpieczeństwa w zakresie dostępu do technologii TEMPEST oraz spełnienia wymagań proceduralnych i produkcyjnych. Jak można się spodziewać proces uzyskania certyfikatu na określony wyrób jest długotrwały i pracochłonny. Trwa on z reguły od 1 – 1,5 roku. 
Zwykle sprzęt klasy TEMPEST jest typowym sprzętem biurowym lub przenośnym. Jest on dostosowywany do spełnienia wymagań określonej klasy bądź opracowywany na indywidualne potrzeby klienta.

Ze względu na ograniczenia użytkownikami sprzętu klasy TEMPEST mogą być wyłącznie instytucje NATO oraz krajów członkowskich, w tym:

punktor

siły zbrojne;

punktor

agendy NATO: NC3A, NACMA, NAMSA, NACOSA;

punktor

organizacje wywiadowcze;

punktor

służba dyplomatyczna;

punktor

łączność specjalna;

punktor

instytucje odpowiedzialne za ład i porządek;

punktor

instytucje i ośrodki przetwarzania danych niejawnych.

Urządzenia klasy TEMPEST znajdują się na liście uzbrojenia USA - oznacza to kontrolę nad obrotem tymi urządzeniami ze strony Departamentu Stanu USA i wymaganie każdorazowego uzyskania licencji eksportowej na dostawę do NATO lub krajów członkowskich. 
Ponieważ Polska przystąpiła do NATO sprzęt klasy TEMPEST jest dostępny także dla użytkowników w naszym kraju. Aby wejść w jego posiadanie lub pośredniczyć w jego dostarczeniu należy jednak spełnić kilka podstawowych warunków:

punktor

posiadać zezwolenie Ministra Gospodarki (wpis do rejestru) na obrót specjalny z zagranicą w zakresie grupy towarowej LU11 - zgodnie z Rozporządzeniem Ministra Gospodarki z dnia 3 sierpnia 1998 roku w sprawie ustalenia wykazów towarów i technologii objętych szczególną kontrolą obrotu z zagranicą;

punktor

uzyskać licencję importową Ministerstwa Gospodarki na dostarczenie sprzętu określonemu użytkownikowi końcowemu;

punktor

spełniać wymagania niezbędne dla uzyskania licencji eksportowej USA - wymaga to określenia użytkownika końcowego z gwarancją nadrzędnej instytucji rządowej RP (np. MSWiA dla sprzętu dla Policji, MON dla Polskich Sił Zbrojnych, itp.).

Organem upoważnionym w Polsce do przeprowadzania badań i certyfikacji wyrobów o przeznaczeniu specjalnym (tj. urządzeń, oprogramowania i podsystemów zabezpieczeń systemów teleinformatycznych przeznaczonych do ochrony informacji stanowiących tajemnicę państwową i służbową) upoważniona jest Jednostka Certyfikująca Urządzeń i Systemów Kryptograficznych oraz Kompatybilności Elektromagnetycznej powołana w Biurze Bezpieczeństwa Łączności i Informatyki ABW. Urządzeniami takimi są oczywiście urządzenia kategorii TEMPEST.

USA na mocy odpowiednich porozumień umożliwiły także niektórym sojusznikom NATO udział w programie TEMPEST na zasadach podobnych do obowiązujących producentów w USA (procedury certyfikacyjne oraz nadzór przez instytucje rządowe odpowiedzialne za bezpieczeństwo i ochroną informacji, dystrybucja na terenie danego kraju i eksport zgodnie z regułami obowiązującymi w USA).

Stosowanie sprzętu klasy TEMPEST gwarantuje bezpieczeństwo elektromagnetyczne procesu przetwarzania danych. Można więc zrezygnować ze stosowania osłon elektromagnetycznych, filtrów, budowy specjalnych pomieszczeń czy budynków.
Rozwiązanie to wydaje się być atrakcyjne, choć końcowa ocena zależy także od kalkulacji opłacalności i celowości stosowania urządzeń tej klasy dokonanej bezpośrednio w miejscu jego ewentualnego zastosowania. 

Podstawową normą dla wyrobów wykonanych w technologii TEMPEST, obowiązującą w USA, jest norma NSTISSAM/1-92.
Jej odpowiednikiem w krajach NATO jest norma AMSG (AMSG 720 B, AMSG 788, AMSG 784).
Urządzenia klasy TEMPEST wykonywane są w trzech klasach bezpieczeństwa elektromagnetycznego, które nazywane są również poziomami:

punktor

Level I    (poziom 1) - wg normy AMSG 720 B;

punktor

Level II   (poziom 2) - wg normy AMSG 788;

punktor

Level III  (poziom 3) - wg normy AMSG 784.

Klasa bezpieczeństwa (poziom) urządzenia świadczy o stopniu jego zabezpieczenia przed niepożądaną emisją ujawniającą.
Przy wyborze urządzenia wykonanego w technologii TEMPEST (pod kątem jego klasy bezpieczeństwa), przeznaczonego do przetwarzania informacji niejawnych, należy brać pod uwagę klauzulę przetwarzanych informacji, a także lokalizację miejsca, w którym będzie ono pracowało.

Poziom AMSG SDIP-27 Poziom ochrony
JC DBTI ABW
Poziom ochrony
BT SKW
Opis
Poziom 1 AMSG 720B A SSOE 0 TPZU 3 Pozwala na użytkowanie sprzętu IT w odległości nie większej niż 20 m od potencjalnego intruza (przy odległości mniejszej niż 8 m wymagane dodatkowe konsultacje z właściwymi służbami ochrony państwa).
Poziom 2 AMSG 788A B SSOE 1 TPZU 2 Pozwala na użytkowanie sprzętu IT w odległości nie mniejszej niż 20 m od potencjalnego intruza.
Poziom 3 AMSG 784A C SSOE 2 TPZU 1 Pozwala na użytkowanie sprzętu IT w odległości nie mniejszej niż 100 m od potencjalnego intruza.
TPZU – techniczny poziom zabezpieczenia miejsca według BT SKW
SSOE – sprzętowa strefa ochrony elektromagnetycznej według JC DBTI ABW

Z uwagi na wielkość strefy administracyjnej (strefy kontrolowanej) wokół pomieszczenia, w którym zostanie zainstalowane urządzenie przetwarzające informacje niejawne, wyróżnia się różne strefy bezpieczeństwa (regulowane odpowiednimi przepisami). 
Każdej z nich przyporządkowany jest odpowiedni rodzaj sprzętu spełniającego daną normę AMSG. 
I tak wg np. SCS Secure Computers Systems Limited:

punktor

urządzenia spełniające wymagania normy AMSG 720 B dedykowane są do pracy w strefie NATO ZONE 0

punktor

dla strefy NATO ZONE 1 - przeznaczone są urządzenia wg normy AMSG 788

punktor

a dla strefy NATO ZONE 2 - urządzenia spełniające normę AMSG 784.

Dobór urządzeń, dostosowanych do warunków strefy bezpieczeństwa oraz klauzuli tajności przetwarzanych informacji, wymaga konsultacji ze służbami ochrony państwa.

Na zakończenie poddaję uwagę godną zastanowienia dla wszystkich tych, którzy uważają, że ich instytucji ten problem nie dotyczy.
Urządzenia do "podsłuchiwania" komputerów są bardzo drogie, jednak nie można wykluczyć, że za kilka lat staną się, jak wszystko inne z zakresu nowych technologii, bardziej dostępne i wtedy będą mogły się nimi posługiwać nie tylko służby specjalne innych państw, ale także pospolici przestępcy. A może już się nimi posługują?

© Opracowano na podstawie:

punktor

„Bezpieczeństwo przetwarzania informacji: aktywna ochrona przed emisją ujawniającą",
opr. Rafał Bogusz, IT Security Magazine, 1 - 2/2000.
 

punktor

Joel McNamara, "The Complete, Unofficial TEMPEST Information Page",
http://www.eskimo.com/~joelm/tempest.html
 

punktor

SCS Secure Computers Systems Limited - 
http://www.scs.ws
 

punktor

Siltec Sp. z o.o. - 
http://www.siltec.pl
 

punktor

 Advanced Programs, Inc -
http://www.drs-ap.com