Охота за информацией: как компаниям выстоять против киберпреступников?

Сергей ВОЙНОВ генеральный директор компании EveryTag

Виктор СЕРДЮК генеральный директор АО «ДиалогНаука»

В 2018 г. в Tesla разразился скандал: компания предъявила своему бывшему сотруднику иск на $167 млн. Утверждалось, что он украл конфиденциальные данные и передал их третьим лицам, что привело к серьезному падению курса акций компании. Этот случай не единственный: в мире, где информация является одним из ценнейших ресурсов, на нее давно открыта охота.

В качестве недавних примеров подобных инцидентов в России можно привести утечки конфиденциальной информации в Сбербанке и "ВымпелКоме", о которых стало известно в октябре 2019 г. Сегодня угрозы информационной безопасности признаны одним из глобальных рисков, наряду с нарастанием геополитической напряженности, социальным неравенством и ухудшением экологической ситуации.

Цифры и факты

Утечки потенциально чреваты большим количеством последствий – от репутационного ущерба и потери клиентов до падения финансовых показателей. При этом оценить их вред на 100% сразу же после происшествия практически невозможно. По данным исследования IBM, в первый год компании сталкиваются только с 67% издержек, еще 22% появляются во второй год после инцидента и 11% – в третий. Однако в среднем исследователи IBM оценивают ущерб в результате утечки информации в $3,92 млн.

Неудивительно, что в текущих условиях защита данных становится для бизнеса одной из самых приоритетных задач. В 2018 г. 80% организаций планировали увеличить свои расходы на информационную безопасность, при этом в 17% случаев специалисты заявили, что именно в этой сфере запланированный годовой рост бюджета будет максимальным. Ожидается, что к 2024 г. Глобальные траты на кибербезопасность достигнут $1 трлн. Сумма немалая, но обоснованная, ведь уже в 2020 г. предполагаемая годовая стоимость ущерба от киберпреступлений составит $5 трлн. Но чтобы расходовать деньги максимально эффективно, необходимо четко представлять себе как потенциального злоумышленника и его цели, так и слабые места в обороне.

Технологии на страже

Для защиты от угроз утечки конфиденциальной информации применяется целый комплекс специализированных средств, которые уже доказали свою эффективность в предотвращении подобного рода инцидентов и выявлении потенциальных нарушителей. Рассмотрим подробнее, какие варианты защиты информации существуют сегодня, в чем их технологические особенности и от каких типов утечек они могут защитить бизнес.

DLP (Data Leaks Prevention) – одна из ключевых технологий, позволяющих предотвратить кражу конфиденциальной информации, обрабатываемой в автоматизированных системах. Согласно Insider Threat Report – 2018, ей пользуются 60% организаций-респондентов. Это закономерно, так как 2/3 регистрируемых утечек приходится именно на данные, переданные за пределы компании путем копирования на съемные носители, отправки по электронной почте, загрузки на FTP-серверы или в облачные хранилища, передачи через мессенджеры и соцсети и т.д. Именно такими способами чаще всего злоумышленники осуществляют несанкционированный вывод информации за периметр компании.

DLP-системы способны предотвратить подобные инциденты, анализируя циркулирующую в сети информацию и блокируя те действия с ней (отправку по почте, копирование, запись на съемный носитель, печать и т.д.), которые запрещены в рамках настроенной политики безопасности. Гибкие шаблоны позволяют настроить систему так, чтобы она "отлавливала" специальные метки, ключевые слова и фразы, определенные визуальные образы (например, можно "научить" программу распознавать сканы паспортов) или символы, которые указывают на конфиденциальный характер документа. Любая попытка совершить с таким файлом запрещенное действие приведет к его автоматической блокировке и сигналу в службу безопасности. Различные компоненты программы могут контролировать как внешние серверы и входящую-исходящую информацию на них, так и активность сотрудников на их персональных компьютерах.

Есть и другие классы решений, обеспечивающие дополнительную защиту от возможных утечек информации, в частности UAM (User Activity Monitoring) и IRM (Information Rights Management). Системы класса UAM обеспечивают мониторинг активности пользователей и позволяют останавливать нежелательные операции (запуск нерегламентированного ПО, отправку на печать, создание снимка экрана и т.д.), определять опасные сайты, блокируя соединение с ними, выводить предупреждения и уведомлять администраторов о нарушениях. DRM и IRM – средства защиты, ограничивающие использование определенных файлов. Например, с их помощью можно запретить открывать файл на несанкционированных устройствах или вообще совершать с ним какие-либо действия, кроме просмотра.

Персональная ответственность за каждый документ

К сожалению, все перечисленные выше средства защиты бессильны в ситуации, когда речь идет об утечке конфиденциальных данных, к которым злоумышленник легально получил доступ. В частности, эти системы никак не могут предотвратить фотографирование легально распечатанных документов или экрана с открытым секретным документом на телефон. Между тем уже достаточно большая часть утечек приходится на визуальные данные и бумажные документы, которые приобретают особую ценность в век, когда любая электронная информация может быть легко сфальсифицирована. Недаром, пожалуй, самый скандальный проект нового тысячелетия, связанный с утечками информации, – WikiLeaks – оперирует именно фотографиями и сканами бумаг с идентифицируемыми подписями и печатями.

До недавнего времени компании были лишены технических средств контроля, способных отследить источник утечки аналоговых документов и их фотокопий, и довольствовались лишь превентивными организационно-дисциплинарными мерами и классическими методами расследования в случае совершения кражи данных. Но появление систем класса ILD (Information Leaks Detection) позволяет закрыть существовавшую брешь в периметре информационной безопасности. Одним из примеров систем подобного класса является решение EveryTag.

Алгоритм работы EveryTag

В основе работы EveryTag Information Leaks Detection (ILD) лежит запатентованный алгоритм преобразования документа в персонализированную копию при каждом обращении к оригиналу. Принцип прост: система создает уникальную копию каждого документа в момент его открытия на экране или отправки на печать. Персонализированный для каждого сотрудника документ не содержит специальных символов, каких-либо меток или прочих артефактов, заметных глазу, но в каждой строке, в каждом элементе документа, от шапки и текста до оттиска печати, рукописной подписи и следа от дырокола, содержится информация, идентифицирующая владельца такой копии. В таком варианте документа осуществляются сдвиги слов, букв, изменение полей, которые и образуют персонализированную копию. Хотя внесенные изменения затрагивают каждый элемент на странице, человеческому глазу не под силу их заметить, поэтому неинформированный пользователь даже не догадается о том, что имеет дело не с оригиналом. Исходники документов и ключи, позволяющие идентифицировать каждую сделанную копию и определить ее "владельца", сохраняются в программе. Новое решение хотя и не "ловит" злоумышленника за руку в момент кражи, зато позволяет гарантированно установить источник утечки информации, выступая весомым сдерживающим доводом против самого совершения преступления. Более 205 трлн комбинаций страницы А4 обеспечивают отсутствие двух одинаковых модификаций, поэтому при расследовании утечки достаточно поместить скомпрометированный документ в систему и узнать, кому он принадлежит.

Для идентификации достаточно небольшого обрывка документа, пусть даже грязного или с исправлениями. При этом хранилище данных ILD-системы занимает очень мало места, так как каждый файл с ключом "весит" всего несколько килобайт.

Высокая интегрируемость

Преимуществом технологии является ее способность интегрироваться с корпоративными почтовыми ящиками, порталами, СЭД и иными внутренними сервисами, которые работают с документами. Если для них уже настроены шаблоны и правила (например, касающиеся определения конфиденциальной информации), то ILD может использовать их же, чтобы заменять копиями только документы, которые "опознаны" как секретные.

ILD-система может работать как автономно, так и в качестве интеграционного решения для систем электронного документооборота. Еще один вариант внедрения – облачной. В этом случае система разворачивается на инфраструктуре разработчика и к ней предоставляется доступ через Интернет. Такой вариант допускает и автономную работу, и интеграцию.

Сценарии внедрения

Несмотря на то что ILD-системы не защищают информацию непосредственно от кражи сотрудниками, существует несколько сценариев использования, которые определяются внутренней политикой компании и обеспечиваются организационными мероприятиями, выполняемыми при внедрении системы.

Первый сценарий предполагает информирование сотрудников о внедрении и гарантии обнаружения источников утечки информации. Тот факт, что нарушители будут пойманы и наказаны, оказывает сильный психологический эффект и предотвращает потенциальную утечку.

В рамках второго сценария сотрудники компании остаются не в курсе внедрения системы. Компания тем временем может организовать инсценировку утечки, чтобы определить потенциальных нарушителей. В этом случае можно не просто выявить тех сотрудников, которые представляют угрозу для компании, но и оптимизировать стандарты работы с внутренними документами.

Системы класса ILD позволяют дополнить существующие средства безопасности, которые уже установлены и используются в компаниях, и значительно повысить уровень защиты от утечки конфиденциальной информации.

PDF-версия статьи "Охота за информацией: как компаниям выстоять против киберпреступников?"