Автор: Александр Клевцов, руководитель по развитию продукта InfoWatch Traffic Monitor
На BIS Summit 2023 в рамках мероприятия, посвященного вопросам защиты данных от утечек, обсуждался инновационный подход к защите персональных данных. Его идея заключается в проактивном реагировании на угрозы и предотвращении утечек.
Эксперты, включая представителей ФСТЭК России, депутатов Госдумы, сотрудников Роскомнадзора и представителей бизнеса, отметили, что утечка данных по-прежнему представляет серьезную опасность как для отдельного человека, так и для бизнеса, и не согласились с утверждениями об обесценивании утечки.
Даже если взять в пример одну их самых зрелых с точки зрения ИБ-процессов отрасль – финансовую, увидим, что количество утечек за весь 2023 г. возросло на 79,5%, а на территории России – на 12,3%, согласно анализу экспертно-аналитического центра InfoWatch. Общее число утекших записей персональных данных в финансовом секторе оценивается более чем в 4,3 млрд, из которых 170 млн относятся к российским финансовым организациям.
Инструментом, традиционно используемым для защиты данных от утечек, являются DLP-решения, однако не все из них эффективны на практике из-за частых ложных срабатываний.
В качестве иллюстрации можно привести два сценария, часто возникающих на практике.
DLP-системы традиционно считаются одними из наиболее эффективных инструментов в предотвращении утечки информации. Однако даже они могут столкнуться с проблемами на практике, например с неспособностью различать письмо с подписью сотрудника и письмо с конфиденциальными данными клиента (рис. 1).
InfoWatch Traffic Monitor, в отличие от традиционных DLP-систем, определяет отправку чувствительной информации за периметр не только по содержанию, но и по контексту их передачи, а также устанавливает правильность передачи данных адресату. Это позволяет идентифицировать конкретные персональные данные конкретного клиента и проверять легитимность их отправки.
Но ведь традиционные DLP должны справляться с такой задачей! Увы. Использование стандартных технологий, таких как настройка политик защиты данных с применением регулярных выражений или специализированных словарей, недостаточно эффективно для решения данной задачи. Перечисленные методы являются чрезмерно трудоемкими в настройке, особенно когда защищаемая клиентская база (база партнеров, закупочные цены), содержит миллионы записей, ведь требуется создать соответствующее количество правил. С увеличением объема клиентской базы или номенклатуры создание, а главное, поддержание в актуальном состоянии такого количества правил для защиты данных становится практически решаемой задачей.
Другой сценарий, в котором традиционные DLP-системы не способны качественно справиться с задачей, – это отправка персонализированных предложений. Например, направляется специальное предложение или выписка по счету VIP-клиенту, коммерческое предложение новому партнеру или договор контрагенту, с которым не заключено соглашение о неразглашении информации (рис. 2). Необходимо определить, было ли письмо отправлено правильному адресату или, может быть, случайно подставился похожий адрес, – традиционные DLP-системы не способны ответить на этот вопрос. Ведь даже если инцидент отразится в событиях DLP-системы, то понять, что отправленные данные принадлежат неправильному получателю, сотрудник безопасности сможет, только если он помнит всю клиентскую базу компании наизусть.
Рис. 2. InfoWatch Traffic Monitor успешно разделяет нарушения и легитимную отправку
Предложенное InfoWatch решение может значительно улучшить обстановку и снизить число подобных инцидентов, а помимо этого решить еще ряд смежных вопросов:
InfoWatch предлагает инновационный подход, основанный на анализе контекста данных, который позволяет точно идентифицировать факт передачи персональных данных за контур компании и проверять принадлежность их законному владельцу. Он позволяет добавлять и использовать в DLP-системе политику с миллионами правил, построенными на основе информации, полученной из сторонней бизнес-системы. Разумеется, при изменении данных в системе-источнике правила автоматически обновляются и в правиле DLP (рис. 3).
При этом синхронизация не требует передачи всего объема данных несколько раз в день. Достаточно передавать только инкрементальные изменения, которые произошли в бизнес-системе с момента последней синхронизации.
После синхронизации, при проверке инцидентов, DLP-система уже не обращается напрямую к исходным данным. Для принятия решения достаточно хешей, которые хранятся в DLP.
Новый подход не только обеспечивает защиту данных, которые сложно описать с помощью формул, но также способствует управлению качеством бизнес-процессов. Например, сведения о сотрудниках из кадровой или бухгалтерской системы автоматически синхронизируются с DLP-системой, позволяя идентифицировать отправку зарплатных ведомостей два раза в месяц как легитимную, даже если адреса сотрудников-получателей находятся на сторонних почтовых сервисах.
Эффективность такого решения подтверждена на практике: проведено внедрение в крупном российском банке, где количество инцидентов сократилось в 3,5 раза, а уровень защищенности вырос на 70%. Traffic Monitor синхронизируется с бизнес-системами банка, что позволяет оперировать только актуальными данными конкретных клиентов и проверять, указан ли в получателях письма их законный владелец.
Всего 0,1 секунды требуется InfoWatch Traffic Monitor, чтобы проверить наличие персональных данных при объеме базы в бизнес-системе в 10 млн клиентов. Такие показатели достигаются благодаря запатентованным алгоритмам индексации и поиска, разработанным компанией InfoWatch.
Уникальная технология оказалась эффективной оказалась не только для защиты ПДн, но и показала свою применимость к широкому спектру других задач. Описанный инновационный подход к защите клиентских баз и предотвращению потенциальных утечек применим также к номенклатуре товаров, закупочным ценам, информации о сотрудниках, партнерах и поставщиках. Он обеспечивает защиту любого типа данных, хранящихся в корпоративных базах или информационных системах.
Решение InfoWatch для защиты клиентских баз фундаментально отличается от существующих на рынке DLP-систем и заслуженно отмечено на одном из самых значимых конкурсов в финансовой отрасли: национальная банковская премия в декабре 2023 г. признала компанию InfoWatch победителем в номинации "Лучшая система защиты персональных данных в банковской отрасли" за успешное внедрение решения по защите данных в крупном российском банке.