Контакты
Подписка 2025

Защита персональных данных по контексту передачи или по содержанию? Инновационное решение InfoWatch Traffic Monitor

Александр Клевцов, 03/05/24

Ложноположительные срабатывания в работе DLP всегда являются серьезной угрозой эффективности. Частично снизить их уровень можно за счет корректной настройки системы, но иногда ложные срабатывания – следствие использования в DLP алгоритмов, не подходящих для решения требуемых бизнес-задач. Такие случаи стали драйвером для внедрения в систему InfoWatch Traffic Monitor принципиально нового подхода к определению утечек.

Автор: Александр Клевцов, руководитель по развитию продукта InfoWatch Traffic Monitor

На BIS Summit 2023 в рамках мероприятия, посвященного вопросам защиты данных от утечек, обсуждался инновационный подход к защите персональных данных. Его идея заключается в проактивном реагировании на угрозы и предотвращении утечек.

Эксперты, включая представителей ФСТЭК России, депутатов Госдумы, сотрудников Роскомнадзора и представителей бизнеса, отметили, что утечка данных по-прежнему представляет серьезную опасность как для отдельного человека, так и для бизнеса, и не согласились с утверждениями об обесценивании утечки.

Даже если взять в пример одну их самых зрелых с точки зрения ИБ-процессов отрасль – финансовую, увидим, что количество утечек за весь 2023 г. возросло на 79,5%, а на территории России – на 12,3%, согласно анализу экспертно-аналитического центра InfoWatch. Общее число утекших записей персональных данных в финансовом секторе оценивается более чем в 4,3 млрд, из которых 170 млн относятся к российским финансовым организациям.

Разберемся, почему сложно защитить персональные данные

Инструментом, традиционно используемым для защиты данных от утечек, являются DLP-решения, однако не все из них эффективны на практике из-за частых ложных срабатываний.

В качестве иллюстрации можно привести два сценария, часто возникающих на практике.

Кейс 1: подписи в письмах

DLP-системы традиционно считаются одними из наиболее эффективных инструментов в предотвращении утечки информации. Однако даже они могут столкнуться с проблемами на практике, например с неспособностью различать письмо с подписью сотрудника и письмо с конфиденциальными данными клиента (рис. 1).

ris1-May-02-2024-02-36-13-3819-PMРис. 1. Случай, когда только по содержанию DLP не может определить факт нарушения

InfoWatch Traffic Monitor, в отличие от традиционных DLP-систем, определяет отправку чувствительной информации за периметр не только по содержанию, но и по контексту их передачи, а также устанавливает правильность передачи данных адресату. Это позволяет идентифицировать конкретные персональные данные конкретного клиента и проверять легитимность их отправки.

Но ведь традиционные DLP должны справляться с такой задачей! Увы. Использование стандартных технологий, таких как настройка политик защиты данных с применением регулярных выражений или специализированных словарей, недостаточно эффективно для решения данной задачи. Перечисленные методы являются чрезмерно трудоемкими в настройке, особенно когда защищаемая клиентская база (база партнеров, закупочные цены), содержит миллионы записей, ведь требуется создать соответствующее количество правил. С увеличением объема клиентской базы или номенклатуры создание, а главное, поддержание в актуальном состоянии такого количества правил для защиты данных становится практически решаемой задачей.

Кейс 2: предложения клиентам

Другой сценарий, в котором традиционные DLP-системы не способны качественно справиться с задачей, – это отправка персонализированных предложений. Например, направляется специальное предложение или выписка по счету VIP-клиенту, коммерческое предложение новому партнеру или договор контрагенту, с которым не заключено соглашение о неразглашении информации (рис. 2). Необходимо определить, было ли письмо отправлено правильному адресату или, может быть, случайно подставился похожий адрес, – традиционные DLP-системы не способны ответить на этот вопрос. Ведь даже если инцидент отразится в событиях DLP-системы, то понять, что отправленные данные принадлежат неправильному получателю, сотрудник безопасности сможет, только если он помнит всю клиентскую базу компании наизусть.

ris2-May-02-2024-02-41-29-8957-PM
Рис. 2. InfoWatch Traffic Monitor успешно разделяет нарушения и легитимную отправку

Предложенное InfoWatch решение может значительно улучшить обстановку и снизить число подобных инцидентов, а помимо этого решить еще ряд смежных вопросов:

  • Как избежать массовых ложных срабатываний при отправке зарплатных листов бухгалтерией?
  • Как исключить ложные срабатывания на подписи к письмам, но при этом не создавать сотни или тысячи правил?
  • Как убедиться в корректности бизнес-процесса отправки персонализированных данных клиенту или контрагенту и в том, что данные дошли кому надо, а кому не надо – не дошли?

Новая парадигма: защищать данные по контексту, а не только по содержанию

InfoWatch предлагает инновационный подход, основанный на анализе контекста данных, который позволяет точно идентифицировать факт передачи персональных данных за контур компании и проверять принадлежность их законному владельцу. Он позволяет добавлять и использовать в DLP-системе политику с миллионами правил, построенными на основе информации, полученной из сторонней бизнес-системы. Разумеется, при изменении данных в системе-источнике правила автоматически обновляются и в правиле DLP (рис. 3).

ris3-May-02-2024-02-37-34-6777-PMРис. 3. Определение нарушения по контенту и по контексту

При этом синхронизация не требует передачи всего объема данных несколько раз в день. Достаточно передавать только инкрементальные изменения, которые произошли в бизнес-системе с момента последней синхронизации.

После синхронизации, при проверке инцидентов, DLP-система уже не обращается напрямую к исходным данным. Для принятия решения достаточно хешей, которые хранятся в DLP.

Новый подход не только обеспечивает защиту данных, которые сложно описать с помощью формул, но также способствует управлению качеством бизнес-процессов. Например, сведения о сотрудниках из кадровой или бухгалтерской системы автоматически синхронизируются с DLP-системой, позволяя идентифицировать отправку зарплатных ведомостей два раза в месяц как легитимную, даже если адреса сотрудников-получателей находятся на сторонних почтовых сервисах.

Внедрение в банке

Эффективность такого решения подтверждена на практике: проведено внедрение в крупном российском банке, где количество инцидентов сократилось в 3,5 раза, а уровень защищенности вырос на 70%. Traffic Monitor синхронизируется с бизнес-системами банка, что позволяет оперировать только актуальными данными конкретных клиентов и проверять, указан ли в получателях письма их законный владелец.

Всего 0,1 секунды требуется InfoWatch Traffic Monitor, чтобы проверить наличие персональных данных при объеме базы в бизнес-системе в 10 млн клиентов. Такие показатели достигаются благодаря запатентованным алгоритмам индексации и поиска, разработанным компанией InfoWatch.

Защитить данные, и не только персональные

Уникальная технология оказалась эффективной оказалась не только для защиты ПДн, но и показала свою применимость к широкому спектру других задач. Описанный инновационный подход к защите клиентских баз и предотвращению потенциальных утечек применим также к номенклатуре товаров, закупочным ценам, информации о сотрудниках, партнерах и поставщиках. Он обеспечивает защиту любого типа данных, хранящихся в корпоративных базах или информационных системах.

Решение InfoWatch для защиты клиентских баз фундаментально отличается от существующих на рынке DLP-систем и заслуженно отмечено на одном из самых значимых конкурсов в финансовой отрасли: национальная банковская премия в декабре 2023 г. признала компанию InfoWatch победителем в номинации "Лучшая система защиты персональных данных в банковской отрасли" за успешное внедрение решения по защите данных в крупном российском банке.

Полезные ссылки

  1. Отчет экспертно-аналитического центра InfoWatch Утечки информации в финансовом секторе за три года
    https://www.infowatch.ru/analytics/analitika/utechki-informatsii-vfinansovom-sektore-za-tri-godamir-rossiya 
  2. Подробное описание решения "Лучшая DLP-система для защиты персональных данных в банках"
    https://www.infowatch.ru/resursy/blog/korporativniy-blog/luchshaya-dlp-sistema-dlya-zaschity-personalnykh-dannykh-v-bankakh 
  3. Вебинар по защите персональных данных https://www.youtube.com/watch?v=Enx23R8SuKc  
Темы:InfowatchDLPЖурнал "Информационная безопасность" №1, 2024Traffic Monitor

Программа мероприятий
по информационной безопасности
на ТБ Форуме 2025
Крокус Экспо | 11-13 февраля 2025

Посетить
Обзоры. Спец.проекты. Исследования
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля 2025
Получите комментарии экспертов на ТБ Форуме 2025
Статьи по той же темеСтатьи по той же теме

  • Инновации в DLP и DCAP и новые классы решений
    Эксперты в области систем для защиты от утечек поделились своим мнением о том, как развиваются решения классов DLP и DCAP и какие инновации появились в этом сегменте за последний год.
  • "Открытый контроль" как профилактика утечек информации. Что предлагают DLP?
    Алексей Дрозд, Директор учебного центра "СёрчИнформ"
    Исследование “СёрчИнформ” показало, что только 18% компаний в России оценивают уровень киберграмотности своих сотрудников как хороший.
  • Из DLP в DLP. Обзор развития российского рынка DCAP
    Владимир Ульянов, руководитель аналитического центра Zecurion
    DCAP долгое время находился в поисках своего места в сложной иерархии средств информационной безопасности. Он родился под названием DAG, конкурировал с такими альтернативами, как DSG и UDM, а как только обрел общепринятое название в рамках концепции DCAP, начал испытывать притязания со стороны старого союзника – DLP, вместе с которым защищал корпоративные данные еще до выделения в отдельный класс. Разберемся в истории развития DCAP и его перспективах.
  • ГК InfoWatch: как в 3 раза ускорить расследование инцидентов ИБ без дополнительной нагрузки на офицера безопасности
    Сергей Кузьмин, руководитель направления Центр расследований ГК InfoWatch
    С учетом того, как стремительно масштабируются DLP-системы и какой огромный массив данных генерирует каждый инструмент безопасности, защита информации требует к себе принципиально нового подхода. Рассмотрим, как снизить нагрузку на офицера безопасности, улучшить качество его работы и при этом в несколько раз увеличить скорость проведения расследований.
  • Безопасность как движущий фактор трансформации файлового обмена
    Владимир Емышев, директор по развитию ООО “МСОФТ”
    Представьте себе компанию, в которой сотрудники не используют компьютер. Сложно? Пожалуй, да. Вряд ли сегодня такая найдется. А теперь попробуйте представить, что люди, работающие c компьютером, не используют файлы. “Нереально!” – скажете вы и будете абсолютно правы. Файлы – настолько же привычная сущность, как водопровод в городской квартире или лифт в многоэтажке.
  • Только правильно внедренный DCAP дополняет DLP
    Роман Подкопаев, Генеральный директор компании Makves
    Последние несколько лет показали, что на безопасности нельзя экономить и о ней нужно думать заранее. Информационная безопасность начинается с безопасности данных. DCAP поможет навести порядок в файловых хранилищах и проследить за доступом к ним. Мы вновь беседуем с Романом Подкопаевым, генеральным директором компании Makves (входит в группу компаний “Гарда”).

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
13 февраля | Подходы и инструменты управления процессом РБПО
Узнайте на ТБ Форуме 2025!

More...
ТБ Форум 2025
13 февраля. Отечественные ИТ-системы и российское ПО
Жми, чтобы участвовать

More...