October 16, 2019

Как бороться с внутренними утечками информации из компании

По данным Accenture, 69% организаций сталкиваются с угрозами информационной безопасности во внутреннем периметре. Исследование компании Egress показало, что 95% руководителей испытывают серьезное беспокойство, считая инсайдерские утечки распространенной проблемой, причем 58% из них полагают, что за такими инцидентами стоит злой умысел сотрудников. В этом материале Сергей Войнов, генеральный директор EveryTag, расскажет о том, как может осуществляться несанкционированная передача данных и, самое главное, – как с ней бороться.

Действительно, компании часто оказываются более уязвимы именно перед внутренней угрозой: постоянными сотрудниками, в том числе привилегированными пользователями и даже руководителями, а также подрядчиками. Ведь у них больше возможностей для осуществления утечки просто в силу того, что они уже находятся в системе, нередко имея легальное разрешение пользоваться той информацией, которая будет украдена.

Если стороннему нарушителю нужно преодолеть внешние защитные барьеры, рискуя попасться, то инсайдер может замаскировать свои манипуляции под обычную работу, а при наличии достаточного уровня доступа или прав администратора и вовсе – отключить системы мониторинга или запросить секретные данные так, что система сочтет это действие регламентированным.

Совершение сотрудниками незаконных и неэтичных действий может быть связано как с желанием получить прямую материальную выгоду от продажи информации, так и с иными причинами. Например, в опросе Egress каждый пятый из тех, кто преднамеренно делился данными, считал, что они принадлежат ему, а не фирме, и он имеет полное право распространять их. Кроме того, 24% сотрудников «прихватывали» с собой ценные сведения, переходя на новую работу, а 13% способствовали утечке из-за конфликта с компанией.

Цифровая информация

Утечки по вине персонала можно условно разделить на две большие группы. В первом, более распространенном случае, речь идет о передаче электронных данных, циркулирующих внутри корпоративной системы. На него, по разным данным, приходится около двух третей всех инцидентов, причем информация часто сливается очень большими объемами.

Среди способов утечки в этом варианте можно выделить следующие:

  • копирование данных на сторонний съемный носитель – самый популярный способ кражи конфиденциальных сведений;
  • передача информации через учетные данные корпоративной почты;
  • пересылка через личную web-почту;
  • отправка данных на FTP-сервера;
  • загрузка в облачные хранилища;
  • передача по иным интернет-каналам, включая соцсети и мессенджеры;
  • пересылка через мобильные устройства, на которых есть доступ к системам электронного документооборота.

Бороться с такими типами утечек помогают технологии DLP (Data Leaks Prevention) – согласно Insider Threat Report-2018, это самая популярная технология для защиты данных внутри сети, которую используют 60% организаций-респондентов.

Принцип функционирования DLP-сервисов строится на анализе информации, обращающейся внутри корпоративной сети. Компоненты системы устанавливаются как на внешних серверах, так и на отдельных компьютерах, позволяя отслеживать входящий и исходящий трафик на границах системы и действия сотрудников внутри нее.

Настраиваемые шаблоны – можно, к примеру, задать определенные ключевые слова, символы или классификационные метки документов, которые будут проверяться – позволяют программе определять, являются ли конкретные файлы секретными. Если да, то заданные правила подскажут, что можно с ними делать (пересылать по почте, копировать на рабочую машину или внешнее устройство, отправлять на печать).

При обнаружении запрещенного действия DLP-система блокирует его, сохраняет касающуюся его информацию для дальнейшего разбирательства и отправляет сигнал службе безопасности.

Бумажные документы

Хотя нарушитель-инсайдер может найти способ, как обойти или даже отключить DLP, при правильной настройке эти системы достаточно надежно защищают от несанкционированных действий цифровую информацию внутри корпоративных систем. Однако они никак не помогают избежать утечки данных, находящихся вне системы:

  • фотографии экранов,
  • фотографии распечатанных документов,
  • сами распечатанные документы.

На такие случаи приходится около трети всех утечек информации. В отдельных отраслях эта доля может быть еще выше: так, по данным статистики The American Journal of Managed Care, в сфере здравоохранения США 65% потерь данных связаны именно с потерей печатных документов.

Хотя подобным образом почти невозможно украсть большие массивы данных, количество может легко компенсироваться качеством, а также той весомостью, которую придает информации наличие на ней подписи и печати. Кроме того, сведения на бумажных носителях или экранах часто оказываются более доступными, чем электронные данные.

В ходе исследования компании Ponemon 91% попыток кражи информации таким способом были успешны. При этом они были еще и очень оперативными – в среднем сбор конфиденциальной информации занимал максимум 15 минут. Задача злоумышленников облегчается многими факторами, среди которых:

  • распространение опен-спейсов, где сотрудники имеют доступ к рабочему месту друг друга;
  • отсутствие корпоративных требований по блокировке экранов устройств;
  • размещение в общих зонах принтеров, на которые посылаются документы с компьютеров руководства;
  • несвоевременное и/или неправильное уничтожение документов;
  • свободный доступ к архивам;
  • привлечение на краткосрочные проекты подрядчиков и временных сотрудников.

До недавних пор службам безопасности нечего было противопоставить угрозам утечки фотографий и бумаг, кроме общих дисциплинарных мер и сегментации доступа в те или иные помещения. Однако с появлением технологии ILD (Information Leaks Detection) ситуация изменилась. Инновационная система хотя и не позволяет поймать нарушителя непосредственно в момент кражи или передачи информации, но позволяет со 100% гарантией определить источник утечки. Неотвратимость наказания становится серьезным сдерживающим фактором для потенциальных злоумышленников.

Технология ILD работает следующим образом: при открытии документа или его отправке на печать система каждый раз создает индивидуальную копию, с которой, сам того не замечая, продолжает работать сотрудник. Визуально такая копия ничем не отличается от оригинала, хотя изменения затрагивают все элементы.

Свыше 205 триллионов уникальных комбинаций страницы А4 позволяют абсолютно точно определить конкретную модификацию и ее пользователя. Для этого нужно поместить скомпрометированный документ в систему, которая хранит ключи идентификации всех копий. При этом ILD-технология способна «прочитать» даже клочок бумаги с обрывком слова, испачканный или исправленный документ.

Закрывая существова��шую брешь в безопасности, ILD имеет все шансы стать важным элементом современных систем защиты информации. Немаловажно то, что система может интегрироваться с СЭД, корпоративными порталами, почтовыми службами, сервисами печати, чтобы контролировать прохождение документов через эти службы. Более того – она может использовать установленные для них правила и политики, например, в части определения признаков конфиденциального документа, чтобы модифицировать только отдельные виды бумаг.

Будущее за комплексным подходом

Мы подготовили чек-лист для компаний с теми действиями, которые способствуют снижению вероятности утечки.

  • Ограничение доступа в серверные, а также помещения, где хранятся резервные копии данных, бумажные и электронные архивы.
  • Ограничение возможности подключения и использования съемных носителей.
  • Обеспечение конфиденциальных условий работы ключевых сотрудников (отдельные кабинеты с выделенными печатными устройствами) и изоляция комнат для переговоров.
  • Соблюдение правил уничтожения документов.
  • Разработка политики доступа к электронным и аналоговым данным и ее корректное применение. По данным опроса специалистов кибербезопасности для Insider Threat Report-2018, слишком большое число пользователей с чрезмерными правами доступа заняло первое место в списке инсайдерских опасностей (37%).
  • Информирование сотрудников и подрядчиков о том, какие сведения являются конфиденциальными и требуют осторожного обращения. В исследовании Egress 44% опрошенных руководителей в качестве возможных причин утечки указали, что сотрудники могли просто не знать о том, что информация была секретной.
  • Введение и соблюдение правил, касающихся блокировки экранов, рабочих паролей и использования мобильных устройств на рабочем месте.
  • Контроль привилегированных пользователей – 55% респондентов Insider Threat Report-2018 назвали эту категорию сотрудников в числе самых опасных для информационной безопасности.
  • Установка и корректная настройка DLP-системы с учетом особенностей деятельности конкретной компании.
  • Использование дополнительных методов контроля и защиты электронной информации, например DRM (Digital Rights Management) или IRM (Information Rights Management), которые позволяют так или иначе ограничивать действия с определенными файлами.
  • Использование ILD-технологии для решения проблемы уязвимости визуализированных документов и предотвращения их кражи.

Источник