Контакты
Подписка 2024

Охота за информацией: как компаниям выстоять против киберпреступников?

Виктор Сердюк, 29/11/19

В 2018 г. в Tesla разразился скандал: компания предъявила своему бывшему сотруднику иск на $167 млн. Утверждалось, что он украл конфиденциальные данные и передал их третьим лицам, что привело к серьезному падению курса акций компании. Этот случай не единственный: в мире, где информация является одним из ценнейших ресурсов, на нее давно открыта охота.
 

В качестве недавних примеров подобных инцидентов в России можно привести утечки конфиденциальной информации в Сбербанке и "ВымпелКоме", о которых стало известно в октябре 2019 г. Сегодня угрозы информационной безопасности признаны одним из глобальных рисков, наряду с нарастанием геополитической напряженности, социальным неравенством и ухудшением экологической ситуации1.

Цифры и факты

Утечки потенциально чреваты большим количеством последствий - от репутационного ущерба и потери клиентов до падения финансовых показателей. При этом оценить их вред на 100% сразу же после происшествия практически невозможно. По данным исследования IBM, в первый год компании сталкиваются только с 67% издержек, еще 22% появляются во второй год после инцидента и 11% - в третий. Однако в среднем исследователи IBM оценивают ущерб в результате утечки информации в $3,92 млн2.

Неудивительно, что в текущих условиях защита данных становится для бизнеса одной из самых приоритетных задач. В 2018 г. 80% организаций планировали увеличить свои расходы на информационную безопасность, при этом в 17% случаев специалисты заявили, что именно в этой сфере запланированный годовой рост бюджета будет максимальным3. Ожидается, что к 2024 г. глобальные траты на кибербезопасность достигнут $1 трлн. Сумма немалая, но обоснованная, ведь уже в 2020 г. предполагаемая годовая стоимость ущерба от киберпреступлений составит $5 трлн4. Но чтобы расходовать деньги максимально эффективно, необходимо четко представлять себе как потенциального злоумышленника и его цели, так и слабые места в обороне.

Технологии на страже

Для защиты от угроз утечки конфиденциальной информации применяется целый комплекс специализированных средств, которые уже доказали свою эффективность в предотвращении подобного рода инцидентов и выявлении потенциальных нарушителей. Рассмотрим подробнее, какие варианты защиты информации существуют сегодня, в чем их технологические особенности и от каких типов утечек они могут защитить бизнес.

Утечки потенциально чреваты большим количеством последствий – от репутационного ущерба и потери клиентов до падения финансовых показателей.
 
DLP (Data Leaks Prevention) – одна из ключевых технологий, позволяющих предотвратить кражу конфиденциальной информации, обрабатываемой в автоматизированных системах. Согласно Insider Threat Report – 20185, ей пользуются 60% организаций-респондентов. Это закономерно, так как 2/3 регистрируемых утечек приходится именно на данные, переданные за пределы компании путем копирования на съемные носители, отправки по электронной почте, загрузки на FTP-серверы или в облачные хранилища, передачи через мессенджеры и соцсети и т.д. Именно такими способами чаще всего злоумышленники осуществляют несанкционированный вывод информации за периметр компании.
 
В текущих условиях защита данных становится для бизнеса одной из самых приоритетных задач.
 

DLP-системы способны предотвратить подобные инциденты, анализируя циркулирующую в сети информацию и блокируя те действия с ней (отправку по почте, копирование, запись на съемный носитель, печать и т.д.), которые запрещены в рамках настроенной политики безопасности. Гибкие шаблоны позволяют настроить систему так, чтобы она "отлавливала" специальные метки, ключевые слова и фразы, определенные визуальные образы (например, можно "научить" программу распознавать сканы паспортов) или символы, которые указывают на конфиденциальный характер документа. Любая попытка совершить с таким файлом запрещенное действие приведет к его автоматической блокировке и сигналу в службу безопасности. Различные компоненты программы могут контролировать как внешние серверы и входящую-исходящую информацию на них, так и активность сотрудников на их персональных компьютерах.

Есть и другие классы решений, обеспечивающие дополнительную защиту от возможных утечек информации, в частности UAM (User Activity Monitoring) и IRM (Information Rights Management). Системы класса UAM обеспечивают мониторинг активности пользователей и позволяют останавливать нежелательные операции (запуск нерегламентированного ПО, отправку на печать, создание снимка экрана и т.д.), определять опасные сайты, блокируя соединение с ними, выводить предупреждения и уведомлять администраторов о нарушениях. DRM и IRM – средства защиты, ограничивающие использование определенных файлов. Например, с их помощью можно запретить открывать файл на несанкционированных устройствах или вообще совершать с ним какие-либо действия, кроме просмотра.

Персональная ответственность за каждый документ

К сожалению, все перечисленные выше средства защиты бессильны в ситуации, когда речь идет об утечке конфиденциальных данных, к которым злоумышленник легально получил доступ. В частности, эти системы никак не могут предотвратить фотографирование легально распечатанных документов или экрана с открытым секретным документом на телефон. Между тем уже достаточно большая часть утечек приходится на визуальные данные и бумажные документы, которые приобретают особую ценность в век, когда любая электронная информация может быть легко сфальсифицирована. Недаром, пожалуй, самый скандальный проект нового тысячелетия, связанный с утечками информации, – WikiLeaks – оперирует именно фотографиями и сканами бумаг с идентифицируемыми подписями и печатями.

ILD-система может работать как автономно, так и в качестве интеграционного решения для систем электронного документооборота. Еще один вариант внедрения – облачной. В этом случае система разворачивается на инфраструктуре разработчика и к ней предоставляется доступ через Интернет. Такой вариант допускает и автономную работу, и интеграцию.
 

До недавнего времени компании были лишены технических средств контроля, способных отследить источник утечки аналоговых документов и их фотокопий, и довольствовались лишь превентивными организационно-дисциплинарными мерами и классическими методами расследования в случае совершения кражи данных. Но появление систем класса ILD (Information Leaks Detection) позволяет закрыть существовавшую брешь в периметре информационной безопасности. Одним из примеров систем подобного класса является решение EveryTag.

Алгоритм работы EveryTag

В основе работы EveryTag Information Leaks Detection (ILD) лежит запатентованный алгоритм преобразования документа в персонализированную копию при каждом обращении к оригиналу. Принцип прост: система создает уникальную копию каждого документа в момент его открытия на экране или отправки на печать. Персонализированный для каждого сотрудника документ не содержит специальных символов, каких-либо меток или прочих артефактов, заметных глазу, но в каждой строке, в каждом элементе документа, от шапки и текста до оттиска печати, рукописной подписи и следа от дырокола, содержится информация, идентифицирующая владельца такой копии. В таком варианте документа осуществляются сдвиги слов, букв, изменение полей, которые и образуют персонализированную копию. Хотя внесенные изменения затрагивают каждый элемент на странице, человеческому глазу не под силу их заметить, поэтому неинформированный пользователь даже не догадается о том, что имеет дело не с оригиналом. Исходники документов и ключи, позволяющие идентифицировать каждую сделанную копию и определить ее "владельца", сохраняются в программе. Новое решение хотя и не "ловит" злоумышленника за руку в момент кражи, зато позволяет гарантированно установить источник утечки информации, выступая весомым сдерживающим доводом против самого совершения преступления. Более 205 трлн комбинаций страницы А4 обеспечивают отсутствие двух одинаковых модификаций, поэтому при расследовании утечки достаточно поместить скомпрометированный документ в систему и узнать, кому он принадлежит.

Для идентификации достаточно небольшого обрывка документа, пусть даже грязного или с исправлениями. При этом хранилище данных ILD-системы занимает очень мало места, так как каждый файл с ключом "весит" всего несколько килобайт.

Высокая интегрируемость

Преимуществом технологии является ее способность интегрироваться с корпоративными почтовыми ящиками, порталами, СЭД и иными внутренними сервисами, которые работают с документами. Если для них уже настроены шаблоны и правила (например, касающиеся определения конфиденциальной информации), то ILD может использовать их же, чтобы заменять копиями только документы, которые "опознаны" как секретные.

ILD-система может работать как автономно, так и в качестве интеграционного решения для систем электронного документооборота. Еще один вариант внедрения – облачной. В этом случае система разворачивается на инфраструктуре разработчика и к ней предоставляется доступ через Интернет. Такой вариант допускает и автономную работу, и интеграцию.

Сценарии внедрения

Несмотря на то что ILD-системы не защищают информацию непосредственно от кражи сотрудниками, существует несколько сценариев использования, которые определяются внутренней политикой компании и обеспечиваются организационными мероприятиями, выполняемыми при внедрении системы.

Системы класса ILD позволяют дополнить существующие средства безопасности, которые уже установлены и используются в компаниях, и значительно повысить уровень защиты от утечки конфиденциальной информации.
 

Первый сценарий предполагает информирование сотрудников о внедрении и гарантии обнаружения источников утечки информации. Тот факт, что нарушители будут пойманы и наказаны, оказывает сильный психологический эффект и предотвращает потенциальную утечку.

В рамках второго сценария сотрудники компании остаются не в курсе внедрения системы. Компания тем временем может организовать инсценировку утечки, чтобы определить потенциальных нарушителей. В этом случае можно не просто выявить тех сотрудников, которые представляют угрозу для компании, но и оптимизировать стандарты работы с внутренними документами.

Системы класса ILD позволяют дополнить существующие средства безопасности, которые уже установлены и используются в компаниях, и значительно повысить уровень защиты от утечки конфиденциальной информации.

___________________________________________
1 http://reports.weforum.org/global-risks-2018/
2 https://newsroom.ibm.com/2019-07-23-IBM-Study-Shows-Data-Breach-Costs-on-the-Rise-Financial-Impact-Felt-for-Years
3 https://www.zdnet.com/article/the-role-cybersecurity-should-play-in-2019-it-budget-planning/
4 https://www.cyberdefensemagazine.com/cyber-security-statistics-for-2019/
5 https://www.ca.com/content/dam/ca/us/files/ebook/insider-threat-report.pdf

 

Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2019

Темы:DLP

Форум ITSEC 2024:
информационная и
кибербезопасность России
Москва | 15-16 октября 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

  • "Открытый контроль" как профилактика утечек информации. Что предлагают DLP?
    Алексей Дрозд, Директор учебного центра "СёрчИнформ"
    Исследование “СёрчИнформ” показало, что только 18% компаний в России оценивают уровень киберграмотности своих сотрудников как хороший.
  • Из DLP в DLP. Обзор развития российского рынка DCAP
    Владимир Ульянов, руководитель аналитического центра Zecurion
    DCAP долгое время находился в поисках своего места в сложной иерархии средств информационной безопасности. Он родился под названием DAG, конкурировал с такими альтернативами, как DSG и UDM, а как только обрел общепринятое название в рамках концепции DCAP, начал испытывать притязания со стороны старого союзника – DLP, вместе с которым защищал корпоративные данные еще до выделения в отдельный класс. Разберемся в истории развития DCAP и его перспективах.
  • ГК InfoWatch: как в 3 раза ускорить расследование инцидентов ИБ без дополнительной нагрузки на офицера безопасности
    Сергей Кузьмин, руководитель направления Центр расследований ГК InfoWatch
    С учетом того, как стремительно масштабируются DLP-системы и какой огромный массив данных генерирует каждый инструмент безопасности, защита информации требует к себе принципиально нового подхода. Рассмотрим, как снизить нагрузку на офицера безопасности, улучшить качество его работы и при этом в несколько раз увеличить скорость проведения расследований.
  • Безопасность как движущий фактор трансформации файлового обмена
    Владимир Емышев, директор по развитию ООО “МСОФТ”
    Представьте себе компанию, в которой сотрудники не используют компьютер. Сложно? Пожалуй, да. Вряд ли сегодня такая найдется. А теперь попробуйте представить, что люди, работающие c компьютером, не используют файлы. “Нереально!” – скажете вы и будете абсолютно правы. Файлы – настолько же привычная сущность, как водопровод в городской квартире или лифт в многоэтажке.
  • Только правильно внедренный DCAP дополняет DLP
    Роман Подкопаев, Генеральный директор компании Makves
    Последние несколько лет показали, что на безопасности нельзя экономить и о ней нужно думать заранее. Информационная безопасность начинается с безопасности данных. DCAP поможет навести порядок в файловых хранилищах и проследить за доступом к ним. Мы вновь беседуем с Романом Подкопаевым, генеральным директором компании Makves (входит в группу компаний “Гарда”).
  • Как архиватор ARZip предупреждает утечки данных
    Дмитрий Слободенюк, коммерческий директор ARinteg
    При интеграции с DLP архиватор ARZip может открывать зашифрованные архивы при условии, что они созданы в нем самом. Поэтому при внедрении ARZip издается приказ об использовании ARZip в качестве единственного корпоративного архиватора.

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
15 октября | Форум ITSEC Доверенные решения для защиты российских Linux и миграции
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать

More...