Технологии защиты от внутренних нарушителей

Защита от утечек информации.

В современном бизнесе ключевым преимуществом является обладание необходимой информацией. Многие руководители привыкли учитывать только материальные активы, забывая про нематериальные, неосязаемые. Тот, кто сможет хорошо проанализировать и воспользоваться информацией быстрее других, будет иметь неоспоримое конкурентное преимущество. Однако данное преимущество можно легко потерять, потеряв саму важную информацию.

Как показывает практика, в большинстве случаев наиболее простой канал её получения – это легальный пользователь, внутренний нарушитель. Меры, необходимые для нейтрализации такой угрозы, делятся на технические и организационно-правовые.

Технические меры

Нарушитель, имеющий легальный доступ к корпоративной сети, может вынести информацию за пределы периметра многими способами, например такими как:

• Копирование на съемный носитель(flash-память,DVD и т.п.)
• Пересылка по электронной почте (в т.ч. web-почте)
• Передача файла через сторонний ресурс (файлообменник, форум в Интернете и т.д.)
• Отправка текстового фрагмента посредством IM
• Печать на бумаге и вынос за пределы организации (контролируемой зоны)
• Визуальный съем информации (в т.ч. с использованием технических средств)

В каждом случае нарушитель имеет легальный (обусловленный его служебными обязанностями) доступ к информации. Запретить этот доступ невозможно, сам факт доступа также не является нарушением. Поэтому перед службой информационной безопасности встаёт проблема интерпретации и анализа действий пользователя. И тут на помощь может прийти система предотвращения утечки данных (data loss prevention – DLP).

В самом простом случае критичная информация является просто набором файлов. Тогда для сохранения её конфиденциальности можно использовать практически любое из имеющихся DLP решений – практически все эти решения перехватывают все возможные способы хищения информации. Единственным препятствием может послужить использование экзотических форматов файлов (для анализа содержимого файла продукт должен «знать» его формат).

Существует две основные разновидности DLP решений по способу работы:

• Агентские решения (когда на рабочие станции сотрудников устанавливается специальный агент);
• Решения, работающие на узле обмена информацией (например, шлюзе доступа в интернет).

Преимущества агентских решений состоят в том, что перекрываются все пути хищения информации, включая переносные носители и те программы-коммуникаторы, которые используют шифрование трафика (например, skype). Вместе с тем, такой способ не лишен недостатков – на машине пользователя необходимо формировать доверенную среду (иначе агент будет просто выгружен злоумышленником). Кроме того, агенты существуют почти исключительно под операционные системы Microsoft, что подходит не всем.

У DLP решений, работающих на узле обмена информацией есть иные недостатки – невозможно «на лету» разбирать зашифрованный трафик и (например, трафик skype возможно контролировать только агентскими DLP) придётся либо принимать этот риск, либо применять другие меры (в том числе и чисто организационные) к запрету таких сообщений. Также такое DLP- решение очевидно не в состоянии контролировать использование flash-дисков и подобных носителей информации.

В случае использования агентского DLP решения, службе ИБ необходимо составить перечень конфиденциальной информации и мест её хранения и установить соответствующее ПО на рабочие станции сотрудников. В случае если все использующиеся типы файлов поддерживаются продуктом, они будут проиндексированы и все действия по копированию (в том числе и через буфер обмена) будут контролироваться. После этого «простыми» действиями как-либо похитить информацию не удастся.
Однако можно сформулировать достаточное количество сценариев, которые будет применять внутренний нарушитель для обхода агентского DLP решения, например:

• Массовое копирование важных файлов на рабочую станцию с последующей архивацией;
• Компиляция файла, содержащего важную информацию из многих других источников.

Поиск подобных сценариев можно продолжить, но главная причина утечки состоит в том, что пользователь имеет легальный доступ к конфиденциальной информации и запретить этот доступ невозможно. Сокрытие применяемых методов защиты (и используемых решений в том числе) нельзя признать хорошей практикой, поэтому можно считать, что нарушитель знает возможности и недостатки средств защиты информации.

Таким образом, для качественного предотвращения утечек информации необходимо применять и другие меры. Однако DLP решения незаменимы при проведении расследований – они позволяют контролировать действия пользователей и выявлять подозрительную активность (например, копирование больших фрагментов файлов через буфер обмена). В качестве других технических мер можно применять системы записей пользователя (вплоть до записи всего происходящего на экране), программы теневого копирования (когда регистрируются все данные, переданные через переносные носители) и другие способы фиксации действий (вплоть до записей системы видеонаблюдения). Правда, надо заметить, что некоторые DLP-решения могут данный функционал подключать в виде дополнительных модулей.

Администратор безопасности, имея собранную такими средствами информацию, может восстановить точную последовательность действий предполагаемого нарушителя и доказать или опровергнуть факт кражи информации. Применение же перечисленных мер по отдельности скорее всего результата не даст, так как сквозной анализ любой системы регистрации крайне трудоёмок. Конкретизировать временной отрезок и подозреваемого пользователя можно при помощи DLP-системы.
Вместе с тем, применение одной лишь такой системы также серьёзно осложняет жизнь потенциальному нарушителю (особенно если он не является профессионалом в сфере ИТ).

Также DLP помогает предотвратить утечки информации по неосторожности – пользователь получит дополнительное предупреждение о том, что передаваемая им информация носит конфиденциальный характер и ему придется подтвердить необходимость передачи. Сам факт того, что действия пользователя контролируются, является сильнейшим сдерживающим фактором для большинства потенциальных нарушителей.
Организационные и правовые меры

Вообразим себе ситуацию, когда факт кражи конфиденциальной информации стал известным и виновник уличен. Возникает вопрос – каким образом возможно его наказать?

В случае если похищенная информация является конфиденциальной в терминах законодательства РФ (например, является персональными данными или коммерческой тайной), виновника можно привлечь к ответственности по нормам Закона.
Однако большая часть критичной для бизнеса информации законом не охраняется, и руководству организации приходится придумывать меры воздействия в рамках организации. В случае если формальных должностных инструкций в части обеспечения ИБ, политик безопасности и т.п. в организации не оформлено, оказывается, что нарушителя наказать фактически очень проблематично. Разумеется, большая часть уличенных в таком нарушении людей предпочтет добровольно покинуть фирму, однако в случае большой организации такая ситуация неприемлема.

Общепринятым решением проблемы правовой защиты критичной информации является написание внутренних нормативных документов, определяющих процессы обеспечения ИБ в организации:

• Политика безопасности (определяющая как общий подход к защите информации, так и конкретные важные направления);
• Должностные обязанности работников, имеющих доступ к критичной информации (тогда разглашение такой информации будет являться должностным нарушением и появится возможность наказать нарушителя, оставаясь в рамках законодательства);
• Дополнение к должностным инструкциям представителя высшего руководства компании, курирующего вопросы ИБ (практика показывает, что таким куратором должен быть сотрудник не ниже первого заместителя руководителя организации).

В случае наличия полного комплекта внутренних регламентов, по результатам служебного расследования нарушитель понесет наказание, а работодатель, со своей стороны, не рискует нарушить трудовое законодательство.

Однако необходимо помнить, что некоторые действия сотрудников подразделения информационной безопасности могут выходить не только за рамки трудового законодательства. Именно поэтому как при внедрении систем предотвращения утечек и разработки руководящих документов, так и при расследовании инцидентов необходима серьезная помощь юристов компании.

Заключение

Проблема защиты от внутренних нарушителей крайне сложна в разрешении. В сложных ситуациях (например, если на организацию проводиться спланированная атака конкурентов) понадобится напряжение всех сил как служб ИБ организации, так и юридической службы и высшего руководства компании. Организация при этом проходит проверку на прочность как в части технической инфраструктуры, так и (даже в большей степени) в части морального климата внутри коллектива. Мало кому понравиться быть объектом расследования и подвергаться расспросам службы безопасности.

Усилия служб ИБ должны быть направлены в равной степени, как на выявление фактов утечки, так и на сбор доказательств причастности сотрудников к этим утечкам. Ситуация когда и виновный в утечке не найден, и работа организации нарушена нервозностью в коллективе боле чем реальна.

Грамотное применение технических средств борьбы с внутренними нарушителями вкупе с правовыми способами защиты информации многократно повысят эффективность работы в кризисной ситуации и позволят выйти из неё с минимально возможными потерями.
Управляющий партнер компании Pointlane
Королев Алексей

Примечания: DLP-системы Защита от утечек информации
17:16 13.11.2017



Отзывы и комментарии
Ваше имя (псевдоним):
Проверка на спам:

Введите символы с картинки:



Популярное

Зачем ехать в Узбекистан? Этнографические чудеса «

С полгода назад на сайте проекта National Geographic Music я познакомился с документальным фильмом &...

Лучшие друзья девушек - бриллианты, а кто лучшие п

Если спросить женщину, что она подразумевает под словами «ювелирные украшения», любая ср...

МР-153: какое ружье в России ласково называют «Мур

Редко, очень редко оружие получает свое собственное имя, которое как бы живет отдельно от него....

Болезни груши

Посадив фруктовый сад, дачники с нетерпением ждут вкусных и сочных плодов. Но иногда деревья страдаю...

Вахтовые поселки Containex на Ямале. Практический

Сегодня лучшим подтверждением надежности и оптимальности соот­ношения цена/качества производимой про...

Светит ли нам вечная жизнь?

Прославленный американский ученый-футурист и изобретатель, а с недавних пор и директор сетевого мега...

Вкусные рецепты: Салат"Гватемала", "

Салат"Гватемала"Лук порезать кольцами,добавить толчёный чеснок,порезанные дольками помидоры,немного ...

От чего зависят сроки ввода в эксплуатацию зерново

Для аграриев России качественное, современное оборудование для послеуборочной подработки зерна играе...

Регистрация домена (доменного имени)

Если по-простому, то домен (доменное имя) - это название сайта типа: art73.ru, vip-woman.ru, s-art.s...

Принципы сегодняшних методов изготовления металлич

Несмотря на то, что некоторые виды литья требуют высочайшего технологического уровня и суперсовремен...



Развивая портал:

Наш проект сделан для людей, стремящихся день за днем совершенствоваться во всех сферах жизни. Каждый для себя найдет что-то интересное и подчеркнет из статьи полезные вещи. На сайте описано огромное количество моментов, которым в повседневной жизни вы найдете практическое применение. Отсутствие навязчивой рекламы, политики и новостных лент, наличие легкого юмора и полезных постов делает наш сайт приятным для просмотра.

Полезная и познавательная информация, которая собрана на нашем портале дает возможность ответить на многие интересующие вас вопросы. Для того, чтобы каждый посетитель на нашем портале смог в кротчайшие сроки отыскать нужную, для него информацию, мы максимально упростили интерфейс и улучшили систему поиска необходимой статьи. Теперь нет нужды тратить огромное количество времени для поиска ответа на интересующий вас вопрос.