Контакты
Подписка 2024

Защита персональных данных по контексту передачи или по содержанию? Инновационное решение InfoWatch Traffic Monitor

Александр Клевцов, 03/05/24

Ложноположительные срабатывания в работе DLP всегда являются серьезной угрозой эффективности. Частично снизить их уровень можно за счет корректной настройки системы, но иногда ложные срабатывания – следствие использования в DLP алгоритмов, не подходящих для решения требуемых бизнес-задач. Такие случаи стали драйвером для внедрения в систему InfoWatch Traffic Monitor принципиально нового подхода к определению утечек.

Автор: Александр Клевцов, руководитель по развитию продукта InfoWatch Traffic Monitor

На BIS Summit 2023 в рамках мероприятия, посвященного вопросам защиты данных от утечек, обсуждался инновационный подход к защите персональных данных. Его идея заключается в проактивном реагировании на угрозы и предотвращении утечек.

Эксперты, включая представителей ФСТЭК России, депутатов Госдумы, сотрудников Роскомнадзора и представителей бизнеса, отметили, что утечка данных по-прежнему представляет серьезную опасность как для отдельного человека, так и для бизнеса, и не согласились с утверждениями об обесценивании утечки.

Даже если взять в пример одну их самых зрелых с точки зрения ИБ-процессов отрасль – финансовую, увидим, что количество утечек за весь 2023 г. возросло на 79,5%, а на территории России – на 12,3%, согласно анализу экспертно-аналитического центра InfoWatch. Общее число утекших записей персональных данных в финансовом секторе оценивается более чем в 4,3 млрд, из которых 170 млн относятся к российским финансовым организациям.

Разберемся, почему сложно защитить персональные данные

Инструментом, традиционно используемым для защиты данных от утечек, являются DLP-решения, однако не все из них эффективны на практике из-за частых ложных срабатываний.

В качестве иллюстрации можно привести два сценария, часто возникающих на практике.

Кейс 1: подписи в письмах

DLP-системы традиционно считаются одними из наиболее эффективных инструментов в предотвращении утечки информации. Однако даже они могут столкнуться с проблемами на практике, например с неспособностью различать письмо с подписью сотрудника и письмо с конфиденциальными данными клиента (рис. 1).

ris1-May-02-2024-02-36-13-3819-PMРис. 1. Случай, когда только по содержанию DLP не может определить факт нарушения

InfoWatch Traffic Monitor, в отличие от традиционных DLP-систем, определяет отправку чувствительной информации за периметр не только по содержанию, но и по контексту их передачи, а также устанавливает правильность передачи данных адресату. Это позволяет идентифицировать конкретные персональные данные конкретного клиента и проверять легитимность их отправки.

Но ведь традиционные DLP должны справляться с такой задачей! Увы. Использование стандартных технологий, таких как настройка политик защиты данных с применением регулярных выражений или специализированных словарей, недостаточно эффективно для решения данной задачи. Перечисленные методы являются чрезмерно трудоемкими в настройке, особенно когда защищаемая клиентская база (база партнеров, закупочные цены), содержит миллионы записей, ведь требуется создать соответствующее количество правил. С увеличением объема клиентской базы или номенклатуры создание, а главное, поддержание в актуальном состоянии такого количества правил для защиты данных становится практически решаемой задачей.

Кейс 2: предложения клиентам

Другой сценарий, в котором традиционные DLP-системы не способны качественно справиться с задачей, – это отправка персонализированных предложений. Например, направляется специальное предложение или выписка по счету VIP-клиенту, коммерческое предложение новому партнеру или договор контрагенту, с которым не заключено соглашение о неразглашении информации (рис. 2). Необходимо определить, было ли письмо отправлено правильному адресату или, может быть, случайно подставился похожий адрес, – традиционные DLP-системы не способны ответить на этот вопрос. Ведь даже если инцидент отразится в событиях DLP-системы, то понять, что отправленные данные принадлежат неправильному получателю, сотрудник безопасности сможет, только если он помнит всю клиентскую базу компании наизусть.

ris2-May-02-2024-02-41-29-8957-PM
Рис. 2. InfoWatch Traffic Monitor успешно разделяет нарушения и легитимную отправку

Предложенное InfoWatch решение может значительно улучшить обстановку и снизить число подобных инцидентов, а помимо этого решить еще ряд смежных вопросов:

  • Как избежать массовых ложных срабатываний при отправке зарплатных листов бухгалтерией?
  • Как исключить ложные срабатывания на подписи к письмам, но при этом не создавать сотни или тысячи правил?
  • Как убедиться в корректности бизнес-процесса отправки персонализированных данных клиенту или контрагенту и в том, что данные дошли кому надо, а кому не надо – не дошли?

Новая парадигма: защищать данные по контексту, а не только по содержанию

InfoWatch предлагает инновационный подход, основанный на анализе контекста данных, который позволяет точно идентифицировать факт передачи персональных данных за контур компании и проверять принадлежность их законному владельцу. Он позволяет добавлять и использовать в DLP-системе политику с миллионами правил, построенными на основе информации, полученной из сторонней бизнес-системы. Разумеется, при изменении данных в системе-источнике правила автоматически обновляются и в правиле DLP (рис. 3).

ris3-May-02-2024-02-37-34-6777-PMРис. 3. Определение нарушения по контенту и по контексту

При этом синхронизация не требует передачи всего объема данных несколько раз в день. Достаточно передавать только инкрементальные изменения, которые произошли в бизнес-системе с момента последней синхронизации.

После синхронизации, при проверке инцидентов, DLP-система уже не обращается напрямую к исходным данным. Для принятия решения достаточно хешей, которые хранятся в DLP.

Новый подход не только обеспечивает защиту данных, которые сложно описать с помощью формул, но также способствует управлению качеством бизнес-процессов. Например, сведения о сотрудниках из кадровой или бухгалтерской системы автоматически синхронизируются с DLP-системой, позволяя идентифицировать отправку зарплатных ведомостей два раза в месяц как легитимную, даже если адреса сотрудников-получателей находятся на сторонних почтовых сервисах.

Внедрение в банке

Эффективность такого решения подтверждена на практике: проведено внедрение в крупном российском банке, где количество инцидентов сократилось в 3,5 раза, а уровень защищенности вырос на 70%. Traffic Monitor синхронизируется с бизнес-системами банка, что позволяет оперировать только актуальными данными конкретных клиентов и проверять, указан ли в получателях письма их законный владелец.

Всего 0,1 секунды требуется InfoWatch Traffic Monitor, чтобы проверить наличие персональных данных при объеме базы в бизнес-системе в 10 млн клиентов. Такие показатели достигаются благодаря запатентованным алгоритмам индексации и поиска, разработанным компанией InfoWatch.

Защитить данные, и не только персональные

Уникальная технология оказалась эффективной оказалась не только для защиты ПДн, но и показала свою применимость к широкому спектру других задач. Описанный инновационный подход к защите клиентских баз и предотвращению потенциальных утечек применим также к номенклатуре товаров, закупочным ценам, информации о сотрудниках, партнерах и поставщиках. Он обеспечивает защиту любого типа данных, хранящихся в корпоративных базах или информационных системах.

Решение InfoWatch для защиты клиентских баз фундаментально отличается от существующих на рынке DLP-систем и заслуженно отмечено на одном из самых значимых конкурсов в финансовой отрасли: национальная банковская премия в декабре 2023 г. признала компанию InfoWatch победителем в номинации "Лучшая система защиты персональных данных в банковской отрасли" за успешное внедрение решения по защите данных в крупном российском банке.

Полезные ссылки

  1. Отчет экспертно-аналитического центра InfoWatch Утечки информации в финансовом секторе за три года
    https://www.infowatch.ru/analytics/analitika/utechki-informatsii-vfinansovom-sektore-za-tri-godamir-rossiya 
  2. Подробное описание решения "Лучшая DLP-система для защиты персональных данных в банках"
    https://www.infowatch.ru/resursy/blog/korporativniy-blog/luchshaya-dlp-sistema-dlya-zaschity-personalnykh-dannykh-v-bankakh 
  3. Вебинар по защите персональных данных https://www.youtube.com/watch?v=Enx23R8SuKc  
Темы:InfowatchDLPЖурнал "Информационная безопасность" №1, 2024Traffic Monitor

Отечественные ИT-платформы
и ПО для объектов КИИ:
готовность к 1 января 2025
Конференция | 24 июля 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

  • Как архиватор ARZip предупреждает утечки данных
    Дмитрий Слободенюк, коммерческий директор ARinteg
    При интеграции с DLP архиватор ARZip может открывать зашифрованные архивы при условии, что они созданы в нем самом. Поэтому при внедрении ARZip издается приказ об использовании ARZip в качестве единственного корпоративного архиватора.
  • О необходимости типизации российских многофункциональных межсетевых экранов
    Алексей Петухов, руководитель отдела по развитию продуктов InfoWatch ARMA
    Об особенностях разработки российских решений, соответствующих требованиям ФСТЭК России по типу ММЭ уровня сети, а также о возможностях и сценариях их использования.
  • DLP для эффективной работы с рисками информационной и кадровой безопасности
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    Нерациональное поведение и ошибки людей – основные слабые стороны, выявляемые в инцидентах безопасности, создающие репутационные риски и являющиеся причинами высоких затрат. Как в решении данной проблемы может помочь DLP?
  • О физиках, лириках и флешках
    Светлана Конявская, заместитель генерального директора ОКБ САПР
    Техническая задача защиты флешки сводится к тому, чтобы сделать нелегальное физическое обладание ею бессмысленным. Эта задача решена в защищенной флешке “Секрет Особого Назначения”. Коротко рассмотрим, как.
  • Next Generation DLP. Поспорим о терминах
    Владимир Ульянов, руководитель аналитического центра Zecurion
    Совместное использования DLP и DCAP - это и есть идея DLP следующего поколения: соединить части, которые были искусственно разделены для обеспечения безопасности данных.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Кибербезопасность
30 июля. Кибербезопасность предприятия: защита от современных угроз
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать

More...