Что делать, если DLP-системы не спасают от утечек?

Просмотров: 4762
Автор:
Самойлов Антон Викторович Рейтинг90

Самойлов Антон Викторович

генеральный директор — ЭвриТег

Утечки информации — живая боль почти для всех руководителей и собственников бизнеса, и эта боль усиливается. Согласно результатам недавнего исследования, количество утечек конфиденциальной информации выросло в России за последний год на 80%. Для сравнения, мировой рост составил около 300%, а объём скомпрометированных данных увеличился более чем стократно.

Чаще всего инциденты происходят в государственных структурах (21,6%), ИТ-компаниях (14,65%), образовательных учреждениях (13,6%) и банках (11,75%). Примерно две трети из них связаны с действиями сотрудников, при этом в личных целях украденную информацию использует четверть всех злоумышленников, в то время как в мире этот показатель составляет 17,3%. Основным каналом утечек в 2016 году по-прежнему оставались браузеры, на их долю пришлось 64% случаев, второе место (26% случаев, по данным других исследователей — около 20%) занимает бумажная документация. 

Все надежды — на безопасность электронных документов

Компании тратят существенные средства на защиту периметра и внедрение систем класса DLP, но они не спасают от внутреннего вредителя с доступом к офисной оргтехнике. В некоторой степени угрозу снижает анализ поведения пользователей с помощью систем UBA (User Behavioral Analytics). Но если сотрудник имеет возможность распечатать конфиденциальные документы, решение UBA также не определит потенциальную угрозу безопасности. 
 
Организационные меры тоже не отличаются высокой эффективностью, поскольку устроить тотальный обыск сотрудников (а тем более проверку личных гаджетов) на выходе из офиса невозможно. Но и такая проверка никого бы не спасла: злоумышленник может сфотографировать документ или экран компьютера на смартфон, не оставляя никаких следов в системе. Бывают и случайные утечки, когда конфиденциальные документы забывают в общедоступных местах или выбрасывают вместе с мусором. Некоторые организации пользуются услугами аутсорсинговых компаний, и это тоже не лучшим образом сказывается на сохранности внутренней документации. Многие не воспринимают проблему всерьёз — и совершенно напрасно. 

Технические средства контроля распространения бумажных документов нужны не только публичным компаниям или организациям с большим документооборотом и значительными объемами ценных данных. Исследователи утверждают, что каждая десятая утечка конфиденциальной информации в России приходится на малый бизнес. Такую ситуацию специалисты связывают с недофинансированием, небрежным обращением со сведениями ограниченного доступа и недостаточным контролем персонала в небольших компаниях. 

Когда DLP и UBA не работают

Утечки с бумажных носителей случаются реже, чем через браузеры, но все же чаще сливов с электронной почты, и от инцидентов не застрахованы даже спецслужбы с их многоуровневыми системами безопасности. Достаточно вспомнить нашумевшую публикацию интернет-издания The Intercept, когда журналисты выложили в сеть подборку конфиденциальных данных АНБ. 

Издание не раскрывало личность информатора, но менее чем через сутки Минюст США предъявил обвинение Реалити Ли Виннер, сотруднице одной из обслуживающих АНБ сторонних компаний. Получив отсканированные документы, авторы статьи отправили часть из них агентству для подтверждения подлинности, благодаря чему удалось быстро определить использованное устройство. Цветные лазерные принтеры крупных производителей применяют так называемую стеганографию («тайнопись») и метят отпечатки незаметными глазу цветными точками. Помимо этого, Виннер вела переписку с рабочего компьютера, и найти её оказалось, что называется, делом техники.
 
Принтеры — не решение

Увы, далеко не все принтеры оставляют на отпечатках стеганографические знаки, к тому же их несложно удалить в графическом редакторе, отсканировав документ. Даже если удастся найти устройство, это решит только половину проблемы. Гораздо сложнее сузить круг подозреваемых и определить воспользовавшегося им сотрудника. Здесь на помощь приходят специализированные решения, в основе работы которых лежат алгоритмы автоматического преобразования каждой копии документа в персонализированный файл. Для этого программы могут изменять межбуквенные и межстрочные интервалы или другие свойства документа, не привязанные к аппаратным возможностям офисной техники. 

Мелкие нюансы незаметны глазу человека (визуально копия не отличается от оригинала), но легко считываются системой, даже если документ был испорчен, помят или испачкался в процессе передачи. Программное обеспечение может работать с фрагментом, фотографией, ксерокопией или скриншотом документа — таким образом допустивший утечку пользователь определяется вне зависимости от способа копирования конфиденциальных данных. Обычно информационная система фиксирует алгоритм преобразований, дату и время создания копии (в том числе электронной), а также идентификационные данные сотрудника, который с ней работает. 

Модуль защиты интегрируется с системой электронного документооборота и работает незаметно для пользователей — им не придётся менять привычные схемы или проходить дополнительную аутентификацию. Сотрудники могут даже не знать, что в корпоративной сети установлена новая система защиты, но каждая копия конфиденциального документа будет закреплена за конкретным человеком. Это упрощает расследование утечек и выявление внутренних злоумышленников, снабжающих информацией журналистов или конкурентов. 

Предупредить или умолчать?

Есть два принципиально разных подхода к внедрению подобных систем. Если уже понятно, что в компании завелся «крот», можно внедрить решение в секрете от всех и инициировать утечку самим. Для этого нужно запустить в систему фальшивый документ с потенциально высокой важностью, и затем «ловить» его в СМИ или у конкурентов. Автор распечатки найдется сразу и без ошибки. 

Но есть и другой путь — громогласно заявить о системе и предупредить весь коллектив. Сотрудникам придется сразу подумать, что для них важнее — получить «добавку к зарплате» за слив конфиденциальной информации или сохранить место и заработок. Утекший документ почти всегда начинает распространяться дальше: даже если сотрудник передал его не в СМИ, а конкурентам, он быстро начинает «гулять» из рук в руки и возвращается в компанию. Все это понимают, и никому не хочется выходить на открытый рынок с «волчьим билетом», поэтому утечки чаще всего прекращаются.

Комментарии (5)

Комментировать могут только авторизованные пользователи.
Предлагаем Вам в систему или зарегистрироваться.

  • Скрыть ветвь
    Рейтинг5350

    ИТ Директор

    ГК Шамса

    31.08.2017 14:29
    Мы внедряем систему DLP и решили сразу, что будем о такой системе сообщать всем сотрудникам Компании. Здесь есть юридическая основа, которая требует сообщать о том, что за действиями сотрудника ведется "логирование". Это работает так же, если бы мы установили камеру видеонаблюдения и или обязаны разместить специальную информационную наклейку. Таким образом, мы можем официально через суд предьявить сотруднику претензию. Но тут дело вот в чем, на самом деле DLP система, если верно настроить, то будет контролировать и браузер и печать, и мессенджеры и внешние носители и почту, ну можно сказать все каналы по которым может произойти утечка. А вот как защитить информацию от простого, банального "фото с экрана на смартфон". который зафиксировать можно только установив камеру над каждым сотрудником с фиксации движения похожее на движения "фото с экрана". Не будет ли это выглядеть как перебор уже с безопасностью? если конечно это не секретный объект)
    1
  • Скрыть ветвь
    Рейтинг90

    генеральный директор

    ЭвриТег

    04.09.2017 12:36

    Ответ на « Мы внедряем систему DLP и решили... »

    Эдгар, большое спасибо за комментарий, ваш опыт действительно полезен.
    А в описанной вами ситуации можно обратить внимание не столько на "перебор безопасности" — всё-таки на территории многих компаний установлено внутреннее видеонаблюдение, и вполне оправдано, — сколько на экономическую эффективность подобных мер. Устанавливать такие камеры в каждом офисе, которые бы вели фактически постоянное слежение за сотрудниками довольно накладно. Да и "большой брат" вряд ли повысит рабочий энтузиазм у сотрудников.
    По моему опыту, гораздо успешнее работают решения, которые встраиваются в корпоративные системы электронного документооборота. Как раз то, что описано в статье. Даже если фото документа, сделанное на смартфон, уже просочилось в открытый доступ, службе безопасности нетрудно будет понять, кто стал виновником "слива", потому что в таких решения предусмотрено в том числе и отслеживание сфотографированных документов. Однако при этом не придётся подозревать в неверности всех сотрудникрв в компании, как это было бы с камерами над каждым рабочим столом.
    0
  • Скрыть ветвь
    Рейтинг5350

    ИТ Директор

    ГК Шамса

    05.09.2017 06:13

    Ответ на « Эдгар, большое спасибо за комментарий, ваш... »

    И вам спасибо за ответ!) Скажите пожалуйста, каким образом система отслеживает сфотографированные документы на смартфон?
    0
  • Скрыть ветвь
    Рейтинг970

    Заместитель директора по ИТ

    ООО "ЭнергоТехСервис"

    06.09.2017 10:53

    Ответ на « И вам спасибо за ответ!)... »

    Насколько я понял из прочитанного, в документ находящийся на просмотре у сотрудника вносятся уникальные идентифицирующие признаки, соответственно по полученной информации в дальнейшем, можно выйти на сотрудника, с высокой вероятностью причастности к утечке. Исключения - ваш коллега, или вообще постороннее лицо фотографирует ваш экран. Ну и надо понимать, что мы работаем пост фактум в данном случае, никак не на упреждение и фиксацию - данные то УЖЕ ушли. Способ может работать для провокаций )
    1
  • Скрыть ветвь
    Рейтинг90

    генеральный директор

    ЭвриТег

    06.09.2017 21:51

    Ответ на « Насколько я понял из прочитанного, в... »

    Константин, вы абсолютно правильно поняли принцип работы подобных систем. И действительно, такие решения позволяют выявить канал "слива" информации: в СЭД заливается фиктивный документ, в результате утечки которого сотрудники СБ без проблем могут вычислить "крота". Естественно, в этом случае рядовые сотрудники не знают о внедренной в корпоративную информационную сеть системе.

    С другой стороны, можно наоборот предупредить коллег о том, что теперь все документы в СЭД маркированы с помощью определенной системы. Поэтому в случае утечки сразу будет понятно, кто "слил" документ. Опыт показывает, что сотрудники в принципе не захотят передавать кому-либо со стороны конфиденциальную информацию. Ведь они будут понимать, что их обязательно поймают.
    0

Комментировать могут только авторизованные пользователи.
Предлагаем Вам в систему или зарегистрироваться.