Операция «Перехват»: как современные технологии хранят коммерческие тайны
По данным экспертов InfoWatch, за первые шесть месяцев 2022 года число утечек информации выросло почти в два раза в мире и в полтора раза — в России по сравнению с аналогичным периодом прошлого года. Почти 90% из них – результат хакерских атак и информационных провокаций. Количество скомпрометированных записей в российских компаниях составило более 187 млн. Лидером по средству обеспечения утечек данных выступили сетевые каналы – на них приходится почти 93%. А чаще всего информацию воруют в промышленности и торговле.
Но вопрос информационной безопасности и защиты информации от утечки актуален для всех сфер бизнеса, особенно в условиях удаленной работы. Разбираемся, как работодателю защитить свои документы от инсайдеров, выстроить надежную систему защиты данных и не нарушить при этом права сотрудников.
Держать информацию и каналы ее распространения под контролем, выявлять и предотвращать кражи данных позволяют DLP-системы (Data Loss Prevention). Эти специализированные программные методы и решения защищают организации от утечек конфиденциальных документов. Если в компании действуют правила контроля за ними, причем вне зависимости от методов распространения, то без DLP практически невозможно обеспечить целостность информационного контура. Поэтому такие системы обладают возможностями контроля протоколов, типов данных, а также разного вида источников хранения, особенно переносимых. Кроме того, DLP-система должна уметь отличать конфиденциальную информацию от общедоступной.
DLP фильтруют потоки информации и при наличии маркеров (служебные слова, блоки данных, сетевые действия, использование сторонних устройств хранения информации и т. п.) блокируют их или информируют ответственных специалистов о нарушении информационной безопасности.
Какие DLP существуют на рынке
Системы класса DLP можно разделить на три вида:
-
агентские (контроль персонального устройства пользователя);
-
сетевые (анализ трафика различных данных);
-
гибридные.
Агентские системы защиты от утечек конфиденциальной информации работают на уровне хоста и устанавливаются на конечные точки — рабочие места сотрудников организации. Это помогает контролировать действия пользователей на местах в соответствии с политикой безопасности и вести журнал. Все системные данные обычно хранятся в централизованном хранилище, к которому есть доступ только у администраторов информационной безопасности.
Сетевые DLP защищают от утечек конфиденциальной и корпоративной информации на границе сетевого периметра компании, обеспечивая обработку и анализ сетевого трафика, проходящего через DLP-систему или передаваемого на нее с прокси-серверов организации и серверов электронной почты. Эксплуатация сетевой DLP-системы требует меньше трудозатрат, чем настройка и поддержка решений на основе агентской модели. Как правило, достаточно настроить один сервер на обработку трафика и корректировать в дальнейшем политики из консоли управления.
Гибридная DLP-система представляет собой оптимальную интеграцию двух или более продуктов на базе агентской и сетевой систем. Это позволяет эффективно использовать сильные стороны компонентов в различных сценариях построения информационной защиты компании. В настоящее время гибридная модель DLP самая распространенная.
Помимо такой классификации, уделяется особое внимание защите документов, включая оцифрованные копии.
Среди ключевых возможностей DLP:
-
Обнаружение файлов с конфиденциальной информацией.
-
Предотвращение выхода файлов в сеть.
-
Блокировка копирования информации.
-
Ограничение и фильтрация веб-серфинга.
-
Контроль доступа к приложениям.
-
Полный мониторинг цифровой активности.
На уровне ПО могут решаться, например, задачи, связанные с открытием документа на компьютере, редактированием, снятием экранной копии клавишей Print Screen и с помощью программ захвата, распечаткой документов при отсутствии должных прав и даже трансляцией онлайн через популярные мессенджеры.
Каждый разработчик закладывает в продукт классические возможности и собственные ноу-хау в части защиты информации. Так, к файлам, содержащим конфиденциальные данные, у различных сотрудников будет свой уровень доступа. И если анализ информации на компьютере выявил документ, которого там быть не должно, то это повод для проведения проверки и доработки протоколов безопасности информации, а также создания триггеров для реакции на инцидент. То же самое касается случаев копирования документов, использования публичных веб-ресурсов. Именно полнота и качество обработки инцидентов определяют качество DLP-систем.
Первые шаги к внедрению DLP
Прежде всего необходимо определить потребности компании в защите информации и наличие конфиденциальных данных. В зависимости от этого будет понятно, какой функциональностью должна обладать система и какие дополнительные возможности иметь на будущее. Хорошо, если DLP-решение будет модульное – это позволит приобрести сначала самые критичные для бизнеса блоки, а затем дополнять их новыми при расширении политики безопасности.
Как и при внедрении любого ИТ-решения, предварительно потребуется аудит текущих процессов, связанных с хранением и движением информации, которую необходимо контролировать. Важно понимать, какие конфиденциальные данные в каких бизнес-процессах обрабатываются и используются, каковы риски, связанные с их утечками. По результатам аудита собирается комплект формализованных сценариев, схем, процессов и перечень типов информации, подлежащих защите. Всё это ложится в основу создания общей политики безопасности, реализуемой на базе DLP-системы.
Еще один ключевой момент – юридическая сторона вопроса. Для полноценного использования в компании DLP-систем нужно получить от каждого сотрудника подтверждение, что он осведомлен о действующих правилах и политиках работы с данными. Опираясь на свой опыт, интегратор должен предложить сценарии, которые покажут ценность решения представителям как технического блока, так и бизнеса.
Что предлагают российские разработчики
На российском рынке представлено уже немало DLP-продуктов, из наиболее известных – InfoWatch Traffic Monitor, SearchInform и Falcongaze SecureTower. В части защиты цифровой информации выделяются системы от StarForce, распространяющие защиту и за периметр корпоративных DLP. Это хороший пример дополнения DLP отечественным решением, которое значительно расширяет спектр безопасности документов и конфиденциальной информации.
К слову, у отечественных решений гораздо больше актуальных характеристик, чем у иностранных: к примеру, анализ текстовых данных на русском языке. В свою очередь, западные системы могут располагать более совершенными и инновационными алгоритмами на уровне работы транспортных протоколов, файлов как объектов защиты и т. п.
При миграции с одной платформы на другую также потребуется предварительный аудит. Необходимо будет определить общие и отличающиеся возможности обеих систем, обеспечить быстрый перенос сценариев, корректируя по ходу оставшиеся процессы.
Будущее DLP – за искусственным интеллектом
Методы, процессы, алгоритмы защиты информации постоянно будут совершенствоваться, следовать за темпом развития ИТ в мире. Уже сейчас растет роль ПО для защиты коммутационных устройств и организации централизованного контроля сетевого трафика. А повышение уровня вычислительной мощности сетевых устройств сделает возможным применение моделей искусственного интеллекта для обеспечения защиты информации в условиях слабо классифицируемых инцидентов.
Применение нейросетевых моделей позволит предсказывать, например, поведение исследуемых объектов на уровне лингвистического анализа текстовой информации. Но даже в этом случае понадобится привлечение специалистов в области анализа больших данных, чтобы внедрить модели искусственного интеллекта в общую структуру DLP систем.
Опубликовано 12.12.2022
