Контроль утечек информации

Проблема утечек конфиденциальной информации носит глобальный характер. С ней сталкиваются как частные лица, так и крупные компании, на серверах которых находятся персональные данные клиентов и пользователей. Единственным разумным решением этой проблемы является системный контроль утечек конфиденциальной информации с помощью выстроенной архитектуры безопасности.

Специалисты компании CS IT помогут в создании такой системы. Наши решения в автоматическом режиме отслеживают и предотвращают несанкционированную передачу информации за пределы корпоративной сети.

Причины утечек данных

Потеря данных и выход их за пределы корпоративных сетей в большинстве случаев происходит по одному из трех сценариев:

1. Сетевой. В этом случае данные обычно отправляются за «периметр» внутренней сети через стандартные средства интернет-коммуникации. Это может происходить в результате действий злоумышленника, проникшего в систему, или из-за неосторожных действий сотрудников и несоблюдения корпоративных правил безопасности. Каналами передачи могут выступать специальные FTP-протоколы, сетевые принтеры, любые сервисы электронной почты, мессенджеры, облачные технологии. Для контроля утечек информации через сеть необходим строгий внутренний порядок работы с документами, а также механизмы перехвата исходящего трафика, в том числе и для сетевой печати.
2. Локальный. Злоумышленник или нерадивый сотрудник копирует данные из внутренней системы на USB-носитель, CD/DVD диск, внешний жесткий диск или любой другой носитель информации. Кроме того, в эту категорию входит и несанкционированная печать документов на локальных принтерах. Для предотвращения локальных утечек информации необходимо наличие на рабочих компьютерах программы-агента, способной определять потенциально опасные действия и пресекать их в соответствии с действующей политикой безопасности.
3. Незаконное завладение носителем. Один из самых распространенных методов утечек данных. Связан с потерей или кражей компьютеров, ноутбуков или носителей информации. Свести такой риск к нулю практически невозможно, а единственным решением в этом случае можно назвать шифрование данных.

В дополнение к перечисленным сценариям можно отнести и другие важные факторы:

• Некомпетентность сотрудников. Недостаточное понимание важности информации и обеспечения ее надлежащей защитой. Решением проблемы может стать обязательное обучение специалистов по вопросам информационной безопасности и система штрафов за нарушение установленных норм.
• Использование нелицензионного ПО и не прошедших государственную аттестацию решений. Многие из доступных средств контроля утечек информации не выполняют своих функций надлежащим образом. Программы, не прошедшие проверку, не всегда могут обеспечить надлежащий уровень защиты от утечек, а нелицензионное ПО может содержать в коде изменения и уязвимости, которые позволят злоумышленникам легко обойти его.
• Частая смена сотрудников, отвечающих за безопасность данных.

Использование технических каналов утечки информации

Под это определение попадают различные способы несанкционированного сбора и передачи данных:

• акустические: прослушка помещений, использование диктофонов и иных записывающих устройств;
• электромагнитные: получение данных при помощи анализа ЭМИ, например при незаконном подключении к линиям связи;
• материально-вещественные: получение доступа к физическим носителям информации;
• визуально-оптические: незаконное фотографирование и видеосъемка.

Для каждого из этих способов необходима специализированная система контроля.

Вычисление утечек информации

Для того чтобы предотвратить или оперативно отреагировать на похищение, необходимо реализовать механизм распознавания конфиденциальных данных. В современных решениях используются следующие алгоритмы:

1. Ручная разметка содержания. Предполагает выделение ключевых слов и присвоение им определенного веса. При анализе документа программа ориентируется на составленный список слов и указанный порог чувствительности, при превышении которого файл помечается как конфиденциальный. Такой метод позволяет эффективно распознавать не только целые документы, но и их фрагменты.
2. Контекст хранения информации. В данном случае анализируется не содержание документа, а его атрибуты, например формат, который определяется по сигнатуре, размер и расположение. В результате можно создавать правила, действующие для целой группы существующих и новых документов, удовлетворяющих заданным критериям.
3. Метки и программы-агенты. Метод предполагает маркировку всех конфиденциальных документов, которая может производиться вручную или с помощью специальных программ. Они определяют такие файлы, ограничивают работу с ними и помечают конфиденциальными все производные документы.
4. Регулярные выражения. Они определяют структуру данных, которые помечаются конфиденциальными. Программы эффективно распознают, например паспортные данные, номера банковских карт, телефоны, электронные адреса.
5. Создание отпечатков. Речь идет о создании в базе «шаблона» конфиденциального документа. Программа автоматически анализирует новые файлы на предмет сходства с отпечатком и выставляет необходимые разрешения.

Современные системы контроля поддерживают несколько способов идентификации информации, которые работают совместно и дополняют функционал друг друга.

Средства для обнаружения утечки информации

Современные решения для защиты данных называются DLP-системами от английского Data Leak Prevention. Они включают в себя комплекс программного обеспечения и технических устройств, которые анализируют потоки данных, пересекающих периметр информационной системы. При обнаружении подозрительной или несанкционированной активности они оповещают ответственных лиц и блокируют передачу любой информации.

Основные свойства DLP-системы:

• возможность не только анализировать трафик, но и активно воздействовать на него в случае необходимости;
• способность автоматически определять конфиденциальную информацию как в существующих, так и в новых документах;
• возможность охватывать различные каналы утечки данных;
• автономность и возможность работы с минимумом контролирующего персонала.

Функционал DLP-системы включает в себя 3 основных блока:

1. Определение конфиденциальной информации. Оно реализуется за счет методов, описанных в предыдущем пункте. Программа должна уметь обнаруживать конфиденциальные данные в существующих файлах и проводить аудит новых документов «на лету».
2. Определение подозрительных действий. Алгоритмы системы должны обеспечивать контроль доступа и различать заданные манипуляции на любом сопряженном устройстве. Это может быть, например перемещение файла, полное или частичное копирование информации из него, сохранение снимка экрана с открытым документом и так далее. Кроме того, настраивается и реакция программы на эти манипуляции: она может проводить исключительно аудит действий или пресекать любую подозрительную активность.
3. Уведомление ответственных лиц и создание отчетов. При обнаружении подозрительной активности DLP-системы должны ставить в известность администраторов или других ответственных лиц, а в некоторых случаях — предупреждать самого нарушителя. Кроме того, в каждом случае программа должна предоставлять данные, на основе которых был сделан вывод о подозрительных манипуляциях.

Внедрение и настройка DLP-систем — это задачи, требующие участия специалистов. Доверить их вы можете компании CS IT. Наши эксперты разработают и внедрят оптимальное решение для вашей организации. Мы предоставляем системы от ведущих игроков рынка и ежегодно подтверждаем свой статус лучших партнеров крупных международных предприятий.