Источники утечки конфиденциальной информации. Утечки конфиденциальной информации. Несколько слов о расследовании таких инцидентов. III. От защиты информации к управлению рисками

Сегодня мы поговорим об утечки и средствах защиты конфиденциальной информации.

Термин конфиденциальная информация означает доверительная, не подлежащая огласке, секретная. Разглашение ее может квалифицироваться как уголовно наказуемое преступление. Любое лицо, имеющее доступ к такой информации, не имеет право разглашать ее другим лицам, без согласия правообладателя.

Конфиденциальная информация и закон

Указ президента РФ № 188 от 06.03.1997 г. определяет сведения, имеющие конфиденциальный характер. К ним относятся:

1. Сведения, относящиеся к коммерции.
2. Сведения, связанные относящиеся к служебной деятельности.
3. Врачебная, адвокатская, личная (переписка, телефонные разговоры и.т.д.) тайна.
4. Тайна следствия, судопроизводства, сведения об осужденных.
5. Персональные данные граждан, сведения об их личной жизни.

Коммерческая тайна – это информация, дающая возможность ее обладателю получить конкурентное преимущество, выгоду от представления услуг или продажи товаров. Инсайдерская информация о компании (смена руководства и.т.д.) способная повлиять на стоимость акций.

Служебная тайна – информация, имеющаяся в органах госуправления, документы имеют гриф «Для служебного пользования» и не подлежат разглашению третьим лицам.

К профессиональной тайне относится тайна следствия, адвокатская, судопроизводства, нотариальная и.т.д.

Любые персональные данные (Ф.И.О, место работы, адрес, и.т.д.), сведения о частной жизни гражданина.

Утечка такой информации может наступить в следующих случаях:

1. Неэффективное хранение и доступ к конфиденциальной информации, плохая система защиты.
2. Постоянная смена кадров, ошибки персонала, тяжелый психологический климат в коллективе.
3. Плохое обучение персонала эффективным способам защиты информации.
4. Неумение руководства организации контролировать работу сотрудников с закрытой информацией.
5. Бесконтрольная возможность проникновения в помещение, где хранится информация, посторонних лиц.

Пути утечки информации

Они могут быть организационные и технические.

Организационные каналы:

1. Поступление на работу в организацию, с целью получения закрытой информации.
2. Получение интересующей информации от партнеров, клиентов с использованием методов обмана, введение в заблуждения.
3. Криминальный доступ получения информации (кража документов, похищение жесткого диска с информацией).

Технические каналы:

1. Копирование подлинника документа закрытую информацию или его электронную версию.
2. Запись конфиденциального разговора на электронные носители (диктофон, смартфон и другие записывающие устройства).
3. Устная передача содержания документа ограниченного доступа третьим лицам, не имеющим права доступа к нему.
4. Криминальное получение информации с помощью радиозакладок, скрытно установленных микрофонов и видеокамер.

Меры по защите информации

Система защиты закрытой информации предполагает:

1. Предупреждению несанкционированного доступа к ней.
2. Перекрытие каналов утечки.
3. Регламентации работы с конфиденциальной информацией.

Служба безопасности предприятия должна организовывать практическую реализацию системы защиты информации, обучение персонала, контроль соблюдения нормативных требований.

Организационные методы

1. Разработка системы обработки конфиденциальных данных.
2. Доведение до персонала фирмы положение об ответственности за разглашение конфиденциальных документов, их копирование или фальсификацию.
3. Составление списка документов ограниченного доступа, разграничение персонала по допуску к имеющейся информации.
4. Отбор персонала для обработки конфиденциальных материалов, инструктирование сотрудников.

Технические методы

1. Использование криптографических средств при электронной переписке, ведение телефонных разговоров по защищенным линиям связи.
2. Проверка помещения, где ведутся переговоры, на отсутствие радиозакладок, микрофонов, видеокамер.
3. Доступ персонала в защищенные помещения с помощью идентифицирующих средств, кода, пароля.
4. Использование на компьютерах и других электронных устройствах программно- аппаратных методов защиты.

Политика компании в области информационной безопасности включает в себя:

1. Назначение ответственного лица за безопасность в организации.
2. Контроль использования программно-аппаратных средств защиты.
3. Ответственность начальников отделов и служб за обеспечение защиты информации.
4. Введение пропускного режима для сотрудников и посетителей.
5. Составления списка допуска лиц к конфиденциальным сведениям.

Организация информационной безопасности

Компьютеры, работающие в локальной сети, серверы, маршрутизаторы должны быть надежно защищены от несанкционированного съема информации. Для этого:

1. За эксплуатацию каждого компьютера назначается ответственный сотрудник.
2. Системный блок опечатывается работником IT службы.
3. Установка любых программ производится специалистами IT службы.
4. Пароли должны генерироваться работниками IT службы и выдаваться под роспись.
5. Запрещается использование сторонних источников информации, на всех носителях информации делается маркировка.
6. Для подготовки важных документов использовать только один компьютер. На нем ведется журнал учета пользователей.
7. Программно-аппаратное обеспечение должно быть сертифицировано.
8. Защита информационных носителей (внешние диски) от несанкционированного доступа.

Система работы с конфиденциальной информацией гарантирует информационную безопасность организации, позволяет сохранять от утечек важные сведения. Это способствует устойчивому функционированию предприятия долгое время.

Информация источника всегда распространяется во внешнюю среду. Каналы распространения информации носят объективный характер, отличаются активностью и включают в себя: деловые, управленческие, торговые, научные, коммуникативные регламентированные связи; информационные сети; естественные технические каналы.

Канал распространения информации представляет собой путь перемещения ценных сведений из одного источника в другой в санкционированном режиме (разрешенном) или в силу объективных закономерностей или в силу объективных закономерностей.

Термин «утечка конфиденциальной информации», вероятно, не самый благозвучный, однако он более емко, чем другие термины, отражает суть явления. Он давно уже закрепился в научной литературе, нормативных документах. Утечка конфиденциальной информации представляет собой неправомерный, т.е. неразрешенный выход такой информации за пределы защищаемой зоны ее функционирования или установленного круга лиц, имеющих право работать с ней, если этот выход привел к получению информации (ознакомлению с ней) лицами, не имеющими к ней санкционированного доступа. Утечка конфиденциальной информации означает не только получение ее лицами, не работающими на предприятии, к утечке приводит и несанкционированное ознакомление с конфиденциальной информацией лиц данного предприятия.

Утрата и утечка конфиденциальной документированной информации обусловлены уязвимостью информации. Уязвимость информации следует понимать, как неспособность информации самостоятельно противостоять дестабилизирующим воздействиям, т.е. таким воздействиям, которые нарушают ее установленный статус. Нарушение статуса любой документированной информации заключается в нарушении ее физической сохранности (вообще либо у данного собственника в полном или частичном объеме), логической структуры и содержания, доступности для правомочных пользователей. Нарушение статуса конфиденциальной документированной информации дополнительно включает нарушение ее конфиденциальности (закрытости для посторонних лиц). Уязвимость документированной информации - понятие собирательное. Она не существует вообще, а проявляется в различных формах. К ним относятся: хищение носителя информации или отображенной в нем информации (кража); потеря носителя информации (утеря); несанкционированное уничтожение носителя информации или отображенной в нем информации (разрушение, искажение информации (несанкционированное изменение, несанкционированная модификация, подделка, фальсификация); блокирование информации; разглашение информации (распространение, раскрытие).

Термин «разрушение» употребляется главным образом применительно к информации на магнитных носителях. Существующие варианты названий: модификация, подделка, фальсификация не совсем адекватны термину «искажение», они имеют нюансы, однако суть их одна и та же - несанкционированное частичное или полное изменение состава первоначальной информации.

Блокирование информации здесь означает блокирование доступа к ней правомочных пользователей, а не злоумышленников.

Разглашение информации является формой проявления уязвимости только конфиденциальной информации.

Та или иная форма уязвимости документированной информации может реализоваться в результате преднамеренного или случайного дестабилизирующего воздействия различными способами на носитель информации или на саму информацию со стороны источников воздействия. Такими источниками могут быть люди, технические средства обработки и передачи информации, средства связи, стихийные бедствия и др. Способами дестабилизирующего воздействия на информацию являются ее копирование (фотографирование), записывание, передача, съем, заражение программ обработки информации вирусом, нарушение технологии обработки и хранения информации, вывод (или выход) из строя и нарушение режима работы технических средств обработки и передачи информации, физическое воздействие на информацию и др.

Уязвимость документированной информации приводит или может привести к утрате или утечке информации.

К утрате документированной информации приводят хищение и потеря носителей информации, несанкционированное уничтожение носителей информации или только отображенной в них информации, искажение и блокирование информации. Утрата может быть полной или частичной, безвозвратной или временной (при блокировании информации), но в любом случае она наносит ущерб собственнику информации.

К утечке конфиденциальной документированной информации приводит ее разглашение. Как отмечают некоторые авторы в литературе и даже в нормативных документах термин «утечка конфиденциальной информации» нередко заменяется или отождествляется с терминами: «разглашение конфиденциальной информации», «распространение конфиденциальной информации». Такой подход, с точки зрения специалистов, неправомерен. Разглашение или распространение конфиденциальной информации означают несанкционированное доведение ее до потребителей, не имеющих права доступа к ней. При этом такое доведение должно осуществляться кем-то, исходить от кого-то. Утечка происходит при разглашении (несанкционированном распространении) конфиденциальной информации, но не сводится только к нему. Утечка может произойти и в результате потери носителя конфиденциальной документированной информации, а также хищения носителя информации либо отображенной в нем информации при сохранности носителя у его собственника (владельца). Это не означает, что произойдет. Потерянный носитель может попасть в чужие руки, а может быть и «прихвачен» мусороуборочной машиной и уничтожен в установленном для мусора порядке. В последнем случае утечки конфиденциальной информации не происходит. Хищение конфиденциальной документированной информации также не всегда связано с получением ее лицами, не имеющими к ней доступа. Немало примеров, когда хищение носителей конфиденциальной информации осуществлялось у коллег по работе допущенными к этой информации лицами с целью «подсидки», причинения вреда коллеге. Такие носители, как правило, уничтожались лицами, похитившими их. Но в любом случае потеря и хищение конфиденциальной информации, если и не приводят к ее утечке, то всегда создают угрозу утечки. Поэтому можно сказать, что к утечке конфиденциальной информации приводит ее разглашение и могут привести хищение и потеря. Сложность состоит в том, что зачастую невозможно делить, во-первых, сам факт разглашения или хищения конфиденциальной информации при сохранности носителя информации у ее собственника (владельца), во-вторых, попала ли информация вследствие ее хищения или потери посторонним лицам.

Обладатель коммерческой тайны - физическое или юридическое лицо, обладающее на законном основании информацией, составляющей коммерческую тайну, и соответствующими правами в полном объеме.

Информация, составляющая коммерческую тайну, не существует сама по себе. Она отображается в различных носителях, которые могут ее сохранять, накапливать, передавать. С их помощью осуществляется и использование информации.

Носитель информации - физическое лицо или материальный объект, в том числе физическое поле, в которых информация находит свое отображение в виде символов, образов, сигналов, технических решений и процессов.

Из этого определения следует, во-первых, что материальные объекты - это не только то, что можно увидеть или потрогать, но и физические поля, а также мозг человека, во-вторых, что информация в носителях отображается не только символами, т.е. буквами, цифрами, знаками, но и образами в виде рисунков, чертежей, схем, других знаковых моделей, сигналами в физических полях, техническими решениями в изделиях, техническими процессами в технологии изготовления продукции.

Типы материальных объектов как носителей информации различны. Ими могут быть магнитные ленты, магнитные и лазерные диски, фото-, кино-, видео - и аудиопленки, различные виды промышленной продукции, технологические процессы и др. Но наиболее массовым типом являются носители на бумажной основе. Информация в них фиксируется рукописным, машинописным, электронным, типографским способами в форме текста, чертежа, схемы, рисунка, формулы, графика, карты и т.п. В этих носителях информация отображается в виде символов и образов. Такая информация ФЗ «Об информации…» отнесена к разряду документированной информации и представляет собой различные виды документов.

В последнее время произошли существенные коррективы в формы и средства получения конфиденциальной информации неформальными способами. Конечно, это касается в основном воздействия на человека как носителя конфиденциальной информации.

Человек как объект воздействия более подвержен неформальным воздействиям, чем технические средства и другие носители конфиденциальной информации, в силу определенной правовой незащищенности в текущий момент, индивидуальных человеческих слабостей и жизненных обстоятельств.

Такое неформальное воздействие имеет, как правило, скрытый, нелегальный характер и может осуществляться как индивидуально, так и группой лиц.

На лицо, являющееся носителем конфиденциальной информации, возможны следующие виды каналов утечки информации: речевой канал, физический канал и технический канал.

Речевой канал утечки - информация передается от владеющего конфиденциальной информацией посредством слов лично объекту, заинтересованному в получении данной информации.

Физический канал утечки - информация передается от владеющего конфиденциальными сведениями (носителя) посредством бумажных, электронных, магнитных (зашифрованных или открытых) или иных средств объекту, заинтересованному в получении данной информации.

Технический канал утечки - информация передается посредством технических средств.

Формы воздействия на лицо, являющее носителем защищаемых сведении, могут быть открытые и скрытые.

Открытое воздействие на владеющего (носителя) конфиденциальной информации для получения заинтересованным объектом подразумевает непосредственный контакт.

Скрытое воздействие на владеющего (носителя) конфиденциальной информации для ее получения заинтересованным объектом осуществляется опосредованно (косвенно).

Средствами неформального воздействия владеющего (носителя) конфиденциальной информации для получения от него определенных сведений через открытый речевой канал являются - человек или группа людей, которые взаимодействуют посредством: обещаний чего-то, просьбы, внушения.

В результате владеющий (носитель) конфиденциальной информации вынужден изменить свое поведение, свои служебные обязательства и передать требуемую информацию.

Скрытое воздействие посредством речевого канала на владеющего (носителя) конфиденциальной информации осуществляется посредством косвенного принуждения - шантаж через третье лицо, непреднамеренное или преднамеренное прослушивание и т.п.

Упомянутые средства воздействия, в конце концов, приучают владеющего (носителя) конфиденциальной информации к его толерантности (терпимости) оказываемых на него воздействий.

Формы воздействия на владеющего (носителя) конфиденциальной информации через физический канал утечки могут быть также открытыми и скрытыми.

Открытое воздействие осуществляется посредством силового (физического) устрашения (побоев) либо силовое со смертельным исходом, после получения (побоев) либо силовое со смертельным исходом, после получения информации.

Скрытое воздействие является более утонченным и обширным, с точки зрения применения средств. Это можно представить в виде следующей структуры воздействия. Заинтересованный объект - интересы и потребности носителя конфиденциальной информации.

Следовательно, заинтересованный объект воздействует скрытно (опосредованно) на интересы и потребности человека, владеющего конфиденциальной информации.

Такое скрытое воздействие может основываться на: страхе, шантаже, манипулировании фактами, взятке, подкупе, интиме, коррупции, убеждении, оказании услуг, заверении о будущем лица, являющегося носителем конфиденциальной информации.

Форма воздействия на владеющего (носителя) конфиденциальной информации по техническим каналам также может быть открытой и скрытой.

Открытые (прямые) средства - факсовые, телефонные (в том числе, мобильные системы), Интернет, радиосвязи, телекоммуникаций, СМИ.

К скрытым средствам можно отнести: прослушивание с использованием технических средств, просмотр с экрана дисплея и других средств ее отображения, несанкционированный доступ к ПЭВМ и программно-техническим средствам.

Все рассмотренные средства воздействия независимо от их форм, оказывают неформальное воздействие на лицо, являющееся носителем конфиденциальной информации, и связаны с противозаконными и криминальными способами получения конфиденциальной информации.

Возможность манипулирования индивидуальными особенностями владеющего (носителя) конфиденциальной информацией его социальными потребностями с целью ее получения обязательно необходимо учитывать при расстановке, подборе кадров и проведении кадровой политики при организации работ с конфиденциальной информацией.

Следует всегда помнить, что факт документирования информации (нанесения на какой-либо материальный носитель) увеличивает риск угрозы утечки информации. Материальный носитель всегда легче похитить, при этом присутствует высокая степень того, что нужная информация не искажена, как это бывает при разглашении информации устным способом.

Угрозы сохранности, целостности и секретности конфиденциальности) информации ограниченного доступа практически реализуются через риск образования каналов несанкционированного получения (добывания) злоумышленником ценной информации и документов. Эти каналы представляет собой совокупность незащищенных или слабо защищенных организацией направлений возможной утечки информации, которые злоумышленник использует для получения необходимых сведений, преднамеренного незаконного доступа к защищаемой и охраняемой информации.

Каждое конкретное предприятие обладает своим набором каналов несанкционированного доступа к информации, в этом случае идеальных фирм не существует.

Данное, зависит от множества факторов: объемов защищаемой и охраняемой информации; видов защищаемой и охраняемой информации (составляющей государственную тайну, либо какую другую тайну - служебную, коммерческую, банковскую и т.д.); профессионального уровня персонала, местоположения зданий и помещений и т.д.

Функционирование каналов несанкционированного доступа к информации обязательно влечет за собой утечку информации, а также исчезновение ее носителя.

Если речь идет об утечке информации по вине персонала, используется термин «разглашение информации». Человек может разглашать информацию устно, письменно, снятием информации с помощью технических средств (копиров, сканеров и т.п.), с помощью жестов, мимики, условных сигналов. И передавать ее лично, через посредников, по каналам связи и т.д.

Утечка (разглашение) информации характеризуется двумя условиями:

• 1. Информация переходит непосредственно к заинтересованному в ней лицу, злоумышленнику;
• 2. Информация переходит к случайному, третьему лицу.

Под третьим лицом в данном случае понимается любое постороннее лицо, получившее информацию в силу обстоятельств, не зависящих от этого лица, или безответственности персонала, не обладающее правом владения информацией, и, главное, это лицо не заинтересовано в данной информации. Однако от третьего лица информация может легко перейти к злоумышленнику. В этом случае третье лицо в силу обстоятельств, подстроенных злоумышленником, выступает как «промокашка» для перехвата необходимой информации.

Переход информации к третьему лицу представляется достаточно частым явлением, и его можно назвать непреднамеренным, стихийным, хотя при этом факт разглашения информации имеет место.

Непреднамеренный переход информации к третьему лицу возникает в результате:

• 1. Утери или неправильного уничтожения документа на каком-либо носителе, пакета с документами, дела, конфиденциальных записей;
• 2. Игнорирования или умышленного невыполнения работником требований по защите документированной информации;
• 3. Излишней разговорчивости работников при отсутствии злоумышленника - с коллегами по работе, родственниками, друзьями, иными лицами в местах общего пользования: кафе, транспорте и т.п. (в последнее время это стало заметно с распространением мобильной связи);
• 4. Работы с документированной информацией с ограниченным доступом организации при посторонних лицах, несанкционированной передачи ее другому работнику;
• 5. Использования информации с ограниченным доступом в открытых документах, публикациях, интервью, личных записях, дневниках и т.п.;
• 6. Отсутствия грифов секретности (конфиденциальности) информации на документах, нанесения маркировки с соответствующими грифами на технических носителях;
• 7. Наличия в текстах открытых документов излишней информации с ограниченным доступом;
• 8. Самовольного копирования (сканирования) работником документов, в том числе электронных, в служебных или коллекционных целях.

В отличие от третьего лица злоумышленник или его сообщник целенаправленно добывают конкретную информацию и преднамеренно, незаконно устанавливают контакт с источником этой информации или преобразуют каналы ее объективного распространения в каналы ее разглашения или утечки.

Организационные каналы утечки информации отличаются большим разнообразием видов и основаны на установлении разнообразных, в том числе законных, взаимоотношений злоумышленника с предприятием или сотрудниками предприятия для последующего несанкционированного доступа к интересующей информации.

Основными видами организационных каналов могут быть:

• 1. Поступление на работу злоумышленника на предприятие, как правило, на техническую или вспомогательную должность (оператором на компьютере, экспедитором, курьером, уборщицей, дворником, охранником, шофером и т.п.);
• 2. Участие в работе предприятия в качестве партнера, посредника, клиента, использование разнообразных мошеннических способов;
• 3. Поиск злоумышленником сообщника (инициативного помощника), работающего в организации, который становится его соучастником;
• 4. Установление злоумышленником доверительных взаимоотношений с работником организации (по совместным интересам, вплоть до совместной пьянки и любовных отношений) или постоянным посетителем, сотрудником другой организации, обладающим интересующей злоумышленника информацией;
• 5. Использование коммуникативных связей организации - участие в переговорах, совещаниях, выставках, презентациях, переписке, включая электронную, с организацией или конкретными ее работниками и др.;
• 6. Использование ошибочных действий персонала или умышленное провоцирование злоумышленником этих действий;
• 7. Тайное или по фиктивным документам проникновение в здания предприятия и помещения, криминальный, силовой доступ к информации, то есть кража документов, дискет, жестких дисков (винчестеров) или самих компьютеров, шантаж и склонение к сотрудничеству отдельных работников, подкуп и шантаж работников, создание экстремальных ситуаций и т.п.;
• 8. Получение нужной информации от третьего (случайного) лица.

Организационные каналы отбираются или формируются злоумышленником индивидуально в соответствии с его профессиональным умением, конкретной ситуацией, и прогнозировать их крайне сложно. Обнаружение организационных каналов требует проведения серьезной поисковой и аналитической работы.

Широкие возможности несанкционированного получения информации с ограниченным доступом создают техническое обеспечение технологий финансового документооборота организации. Любая управленческая и финансовая деятельность всегда связана с обсуждением информации в кабинетах или по линиям и каналам связи (проведение видео - и селекторных совещаний), проведением расчетов и анализа ситуаций на компьютерах, изготовлением, размножением документов и т.п.

Технические каналы утечки информации возникают при использовании специальных технических средств промышленного шпионажа, позволяющих получать защищаемую информацию без непосредственного контакта с персоналом организации, документами, делами и базами данных.

Технический канал представляет собой физический путь утечки информации от источника или канала объективного распространения информации к злоумышленнику. Канал возникает при анализе злоумышленником физических полей и излучений, появляющихся в процессе работы вычислительной и другой офисной техники, перехвате информации, имеющей звуковую, зрительную или иную форму отображения. Основными техническими каналами являются акустический, визуально-оптический, электромагнитный и др. Это каналы прогнозируемые, они носят стандартный характер и прерываются стандартными средствами противодействия. Например, в соответствии с ГОСТ РВ 50600-93. «Защита секретной информации от технической разведки. Система документов. Общие положения».

Обычным и профессионально грамотным является творческое сочетание в действиях злоумышленника каналов обоих типов, например установление доверительных отношений с работниками организации и перехват информации по техническим каналам с помощью этого работника.

Вариантов и сочетаний каналов может быть множество, поэтому риск утраты информации всегда достаточно велик. При эффективной системе защиты информации злоумышленник разрушает отдельные элементы защиты и формирует необходимый ему канал получения информации.

В целях реализации поставленных задач злоумышленник определяет не только каналы несанкционированного доступа к информации организации, но и совокупность методов получения этой информации.

Для того чтобы защищать информацию на должном уровне, необходимо «знать врага» и используемые методы добычи информации.

Легальные методы входят в содержание понятий и «своей разведки в бизнесе», отличаются правовой безопасностью и, как правило, определяют возникновение интереса к организации. В соответствии с этим может появиться необходимость использования каналов несанкционированного доступа к требуемой информации. В основе «своей разведки» лежит кропотливая аналитическая работа злоумышленников и конкурентов специалистов-экспертов над опубликованными и общедоступными материалами организации. Одновременно изучаются деятельность и предоставляемые услуги организации, рекламные издания, информация, полученная в процессе официальных и неофициальных бесед и переговоров с работниками предприятия, материалы пресс-конференций, презентаций фирмы и услуг, научных симпозиумов и семинаров, сведения, получаемые из информационных сетей, в том числе из Интернета. Легальные методы дают злоумышленнику основную массу интересующей его информации и позволяют определить состав отсутствующих сведений, которые предстоит добыть нелегальными методами, а некоторые уже и не надо добывать в связи с кропотливым анализом открытой информации.

Нелегальные методы получения ценной информации всегда носят незаконный характер и используются в целях доступа к защищаемой информации, которую невозможно получить легальными методами. В основе нелегального получения информации лежит поиск злоумышленником существующих в организации наиболее эффективных в конкретных условиях незащищенных организационных и технических каналов несанкционированного доступа к информации. Формирование таких каналов при их отсутствии и реализация плана практического использования этих каналов.

Нелегальные методы предполагают: воровство, продуманный обман, подслушивание разговоров, подделку идентифицирующих документов, взяточничество, подкуп, шантаж, инсценирование или организацию экстремальных ситуаций, использование различных криминальных приемов и т.д. В процессе реализации нелегальных методов часто образуется агентурный канал добывания ценной финансовой информации. К нелегальным методам относятся также: перехват информации, объективно распространяемой по техническим каналам, визуальное наблюдение за зданиями и помещениями банка и персоналом, анализ объектов, содержащих следы защищаемой информации, анализ архитектурных особенностей объектов защиты, анализ бумажного мусора, выносимого и вывозимого из предприятия.

Таким образом, утечка информации с ограниченным доступом может наступить:

• 1. При наличии интереса организаций лиц, конкурентов к конкретной информации;
• 2. При возникновении риска угрозы, организованной злоумышленником или при случайно сложившихся обстоятельствах;
• 3. При наличии условий, позволяющих злоумышленнику осуществить необходимые действия и овладеть информацией.

Данные условия могут включать:

• 1. Отсутствие системной аналитической и контрольной работы по выявлению и изучению угроз и каналов утечки информации, степени риска нарушений информационной безопасности организации;
• 2. Неэффективную, слабо организованную систему защиты информации фирмы или отсутствие этой системы;
• 3. Непрофессионально организованную технологию закрытого (конфиденциального) финансового документооборота, включая электронный, и делопроизводства по документированной информации с ограниченным доступом;
• 4. Неупорядоченный подбор персонала и текучесть кадров, сложный психологический климат в коллективе;
• 5. Отсутствие системы обучения сотрудников правилам работы с документированной информацией с ограниченным доступом;
• 6. Отсутствие контроля со стороны руководства предприятия за соблюдением персоналом требований нормативных документов по работе с документированной информацией с ограниченным доступом;
• 7. Бесконтрольное посещение помещений организации посторонними лицами.

Каналы несанкционированного доступа и утечки информации могут быть двух типов: организационные и технические. Обеспечиваются они легальными и нелегальными методами.

Таким образом, получение документов или информации с ограниченным доступом может быть единичным явлением или регулярным процессом, протекающим на протяжении относительно длительного времени.

Поэтому любые информационные ресурсы организации являются весьма уязвимой категорией, и при интересе, возникшем к ним со стороны злоумышленника, опасность их утечки становится достаточно реальной.

Желательна предварительная оценка аналитиками подготовленных к публикации материалов о фирме, выставочных проспектов, рекламных изданий и т.п., их участие в презентациях, выставках, собраниях акционеров, переговорах, а также собеседованиях и тестированиях кандидатов на должности. Последнее является одной из основных и наиболее важных обязанностей информационно-аналитической службы, так как именно на этом этапе можно с определенной долей вероятности перекрыть один из основных организационных каналов - поступление злоумышленника на работу в фирму.

Аналитическая статья Вениамина Левцова, Директора по развитию направления информационной безопасности, LETA IT-company.

Не проходит недели, чтобы в новостных лентах не упоминалось об очередной зафиксированной утечке конфиденциальных данных. Это порождает повышенный интерес бизнес-сообщества и IT-специалистов к системам защиты от подобных действий злоумышленников. А от подразделений, отвечающих за обеспечение информационной безопасности, все активнее требуют построения системы отслеживания и блокирования несанкционированных утечек информации.

Однако у руководителей бизнеса, а порой и у сотрудников технических служб, нет четкого представления, что собой представляют решения по противодействию утечкам информации. Цель настоящей статьи - помочь разобраться, что понимается под системой защиты от утечек, рассказать о смежных системах, определить, какие задачи должны решать системы по борьбе с утечками и какие механизмы при этом используются.

I. Что такое DLP-системы?

Википедия (http://ru.wikipedia.org ) дает следующее определение системы защиты от утечек:

Предотвращение утечек (англ. Data Leak Prevention, DLP) - технологии предотвращения утечек конфиденциальной информации из информационной системы вовне, а также технические устройства (программные или программно-аппаратные) для такого предотвращения утечек. DLP-системы строятся на анализе потоков данных, пересекающих периметр защищаемой информационной системы. При детектировании в этом потоке конфиденциальной информации срабатывает активная компонента системы, и передача сообщения (пакета, потока, сессии) блокируется.

Отметим, что на практике большое число компаний порой годами использует такие систе мы только в режиме слежения (аудита) , а не блокирования .

Важным дополнением к определению является также и то, что DLP-система должна охватывать все основные каналы утечки конфиденциальной информации. Именно такой позиции придерживается сегодня большинство экспертов в этой области. Кроме того, DLP-система должна быть чувствительной по отношению к проверяемому содержанию (контенту) и обеспечивать автоматизированный механизм отслеживания нарушений заданных правил, то есть без привлечения существенного числа сотрудников-контролеров. С учетом сказанного автор предлагает следующее определение системы защиты от утечек данных:
автоматизированное средство, позволяющее распознавать и/или блокировать перемещение конфиденциальных данных за пределы защищаемой информационной системы по всем каналам, используемым в повседневной работе.

Итак, основная задача технической системы защиты от утечек:

• получить описание конфиденциальных данных;
• после чего уметь распознавать их в потоке, исходящем из внутреннего информационного поля организации вовне;
• реагировать на обнаруженные попытки. Именно этот функционал составляет ядро любого DLP-решения.

II. Близкие или смежные системы защиты

Прежде чем продолжить рассмотрение систем по противодействию утечкам, оценим близкие к ним или смежные по функционалу. Системы защиты конфиденциальной информации от утечки по техническим каналам служат для обнаружения разного рода жучков, «закладок», устройств прослушивания и т. д. У данных систем похожие названия, но на этом сходство заканчивается - задачи они решают разные. Пожалуй, единственный общий элемент схем внедрения таких систем и DLP-решений лежит в управленческой плоскости. В обоих случаях необходимо определить перечень сведений конфиденциального характера и сформировать процесс отнесения информации к этому разряду.

Существует класс систем слежения за действиями сотрудников , к возможностям которых порой относят и выявление каналов утечки конфиденциальной информации. Обычно функционал таких систем включает тотальное журналирование всех действий пользователя, в том числе открытие им страниц в Интернете, работу с документами, отправку документов на печать, клавиатурные нажатия и т. д.

Безусловно, использование подобных систем может принести определенную пользу в борь­бе с утечками данных. Но, во-первых, искать в огромном объеме логов придется силами отдельной группы специально обученных «надзирателей». Во-вторых, это все же пост­контроль нарушений- блокировать саму утечку такой продукт не сможет.

Системы управления правами (Rights Management Services) - позволяют ограни­чить число пользователей и множество раз­решенных операций для документа. Контроль выполняется за счет централизованного уп­равления правами, шифрования и специаль­ных plug-in"oB к приложениям, работающим с документами.

Вероятно, системы разделения прав являются наиболее мощным конкурентом DLP, позволяя предотвратить многие из известных сценариев утечки информации. Разделение прав в первую очередь защищает не содержание документа, а его «контейнер». Так что если у пользователя нет прав на работу сдокументом, он попросту не сможет его открыть. Кроме того, такие сис­темы обычно позволяют ограничивать и ряд других операций с защищаемым документом его печать, снятие экранной копии, копирова­ние его фрагментов через Clipboard, отправку по каналам электронной почты и т. д. Вместе с тем, есть немало ситуаций, когда системы управления правами не позволяют перекрыть распространенные сценарии уте­чек. Посудите сами...

1. Документ в его финальной редакции был отнесен к числу конфиденциальных, он попадает под защиту системы управления правами. Но на серверах и на компьютерах сотрудников продолжают храниться его черновики и предыдущие версии. Они могут быть очень похожи на окончательный вариант, но их пере­дача вовне никак не ограничена.
2. Пользователь, не авторизованный на отправку документа по электронной почте, открывает его и стенографирует содержание в другой, незащищенный документ. Никаких ограничений на перемещение вовне созданно­го им документа система не поддерживает.
3. В большинстве случаев чувствительная для бизнеса информация содержится в записях баз данных. Автору неизвестно о том, как можно осуществить контроль доступа к таким данным средствами систем управления правами.

Существующие на рынке системы монито­ринга и архивирования почтовых сообщений очень близки по своей идеологии к DLP-решениям. Как правило, они позволяют устанавливать некие ограничения на контекст (размер, тип, местоположение файла) и со­держание информации, покидающей защи­щаемую информационную систему. Причем основной акцент делается на доступности и продуктивности почтового архива. А вот ме­ханизмы определения ключевых слов для рас­познавания конфиденциальных документов не отличаются гибкостью и удобством. Кроме того, обычно отсутствуют и механизмы контроля утечек с конечных устройств.

Есть также класс решений по контролю операций с внешними устройствами, самым распространенным примером которых явля­ется съемный USB-накопитель. Такие системы нечувствительны по отношению к содержа­нию. Устройство может быть заблокировано вообще, могут блокироваться попытки за­писи на него файлов определенного объема или заданного формата. Однако определить действия в зависимости от содержания не­возможно.

III. От защиты информации к управлению рисками

К счастью, остались в прошлом времена, ког­да забота о за щите информации была одним из пунктов в длинном списке задач IT-службы Теперь, как правило, инициатива по постро­ению системы борьбы с утечками принадле­жит подразделениям, управляющим бизнесом компании и отвечающим за его безопасность Самым серьезным аргументом в пользу внедрения системы противодействия утеч­кам конфиденциальной информации явля­ется требование закона. Именно появление соответствующих нормативных актов в США, Японии и Западной Европе стало, навер­ное, главным катализатором возникновения DLP как класса решений. Можно нисколько не сомневаться, что и у нас интерес к ним немедленно вырос бы, появись в России им­перативные правовые нормы, однозначно обязывающие компании обеспечить наличие технических средств защиты от инсайдеров. Но пока основными мотивами для инициации процесса остаются либо желание отреагиро­вать на факт уже случившейся утечки, либо намерение снизить вероятность наступле­ния подобного события в будущем Как видите, вполне естественно мы перешли к разговору в терминах управления рисками.

Действительно, первый шаг процесса, ведущего к внедрению DLP-системы, - отнесение проблемы утечек информации к области риск-менеджмента.

Практически для любой организации сейчас существует немало данных, последствия несанкционированной утечки которых может нанести ей ощутимый ущерб. Заранее оценить размер этого ущерба почти невозможно. Но в большинстве случаев для того, чтобы осознать опасность, исходящую от утечек информации, достаточно представить даже общие последствия: снижение доверия и отток клиентов, проблемы в конкурентной борьбе, затраты на PR, утечка программного кода, технологий, ноу-хау и многое другое. База заемщиков среднего по размерам банка, который потратил немало средств на создание имиджа «надежного», попадает на «Горбушку». Интересно, у вас возникнет желание открыть в этом банке депозит? Внутренняя аналитика инвестиционного фонда попадает к конкуренту или к клиентам фонда (иногда неизвестно, что может иметь более серьезные последствия). Теперь конкурент лучше понимает вашу стратегию, а у клиента появляются неприятные вопросы. Как думаете, сколько потенциально может потерять этот фонд в такой ситуации? Крупная сеть супермаркетов добивается получения уникальных условий поставки товара. Разумеется, специальные цены предоставляются на условиях конфиденциальности. И вот они попадают к конкуренту, который работает с тем же поставщиком на гораздо менее привлекательных условиях. Как думаете, сохранятся для вас специальные цены? Не ухудшатся ли отношения с поставщиком после всего этого?

Продолжать можно очень долго, но не вызывает сомнения, что для любой организации существует множество ситуаций, связанных с утечками информации, ущерб от которых весьма чувствителен для бизнеса. Существует 4 классических подхода к управлению рисками: принятие, исключение, передача, снижение. Рассмотрим проблему через призму этих подходов.

■ Принятие. Предполагаем, что существует некоторая вероятность наступления события - утечки информации. Оцениваем убытки, готовим список мер на случай наступления, но не производим инвестиций во внедрение решения по борьбе с утечками. Этот подход едва ли применим - потери бизнеса могут поставить под вопрос само его существование.

■ Исключение. В нашем случае практически невыполнимо. Даже внедрение современной DLP-системы не спасет от ряда нетипичных сценариев. Например, почти невозможно защититься от переписывания текста секретного документа на бумагу или от телефона со встроенной камерой в руках инсайдера. Драконовские санкции в отношении персонала, допустившего утечку, также не гарантируют исключения риска.

■ Передача. Сложно представить, как можно транслировать риск утечки информации на внешнюю организацию. Насколько известно автору, подобные риски не страхуются. Трудно также предположить, что IT-аутсорсер сможет взять на себя часть возмещения последствий. Можно передать DLP-систему на аутсорсинг лишь в смысле ее технической эксплуатации, но как передать весь объем рисков - не вполне понятно.

■ Снижение. Предпринимаются меры по существенному снижению вероятности наступления нежелательного события. По сути, объем требуемых затрат связан с достижением приемлемого уровня риска. Именно этот подход ведет нас к внедрению DLP-системы. В реальности борьба с инсайдерами - далеко не единственная область, где можно лишь снизить риск, сделать его более управляемым. Представьте, что вы садитесь за руль своего автомобиля. Он исправен, прошел регулярное ТО, резина - по сезону. Ваши документы в порядке, вы трезвы, пристегнуты ремнем, знаете маршрут и никуда не спешите, у вас полная КАСКО. Итак, вы сделали все от вас зависящее, чтобы снизить риск возникновения препятствий вашему движению к цели. Но кто сказал, что за поворотом вас не ждет уставший водитель грузовика, вылетевшего на встречную? Вас не ждет гвоздь в колее дороги, по которой вы будете двигаться? Кстати, не истек ли срок службы огнетушителя в вашем багажнике? Итак, риски сохраняются. Но в подавляющем большинстве случаев при таких условиях вы благополучно доедете до пункта назначения.

Итак, принятие мер поможет существенно снизить риск, сделать управляемой реакцию на наступление негативных последствий. Но полностью исключить возможность утечки информации практически невозможно.

IV. Основные пути утечки информации

Можно выделить 3 основных сценария, приводящих к выведению информации за пределы информационной среды компании: сетевой, локальный и в связи с утратой носителя.

Рассмотрим эти сценарии более подробно.

Сетевой сценарий предполагает отправку информации за «периметр» контролируемого информационного поля средствами электронной почты, через системы передачи мгновенных сообщений (ICQ, MSN, AOL), посредством веб-почты (mail.ru, gmail.com), через использование ftp-соединения, путем печати документа на сетевом принтере. Для обнаружения конфиденциальной информации, передаваемой сетевыми средствами, требуются механизмы перехвата почтового и интернет-трафика, а также контроль за сетевыми принт-серверами.

Локальный путь вывода информации включает применение внешних USB-накопителей и съемных жестких дисков, запись на CD/DVD и локальную печать.
Очевидно, единственным способом отслеживания такого рода действий является установка на компьютере пользователя программы-агента, способной отслеживать потенциально опасные действия и реагировать на них в соответствии с централизованно управляемыми политиками.

Незаконное завладение носителем (переносным компьютером, смартфоном) в реальности является самым распространенным случаем, когда конфиденциальная информация становится доступной третьим лицам. Ноутбуки теряются и воруются - почти каждая компания сталкивается с этим риском, и свести его к нулю невозможно. Практически единственный действенный способ борьбы в данном случае - шифрование всего диска или отдельных файлов.

В настоящее время среди экспертов нет единой точки зрения по поводу того, относить ли шифрование переносных устройств к типичному функционалу систем борьбы с утечками данных. По мнению автора, поскольку этот сценарий утечки является весьма распространенным, полноценное решение должно предусматривать и криптографическую защиту. К слову, производители многих существующих DLP-систем (McAfee, Symantec, InfoWatch) уже включают в свои пакеты средства шифрования конечных устройств.

В рамках настоящей статьи не хотелось бы останавливаться на описании конкретных случаев утечек данных, ставших достоянием гласности, и обсуждать, какие из каналов
утечек используются чаще всего. В качестве источника предметной и наиболее актуальной информации по этому поводу можно порекомендовать разделы «Аналитка» и «Новости об угрозах» сайта компании InfoWatch (www. infowatch.ru ), пионера и лидера российского рынка DLP-решений, а также сайт образованной в 2007 году компании Perimetrix (www. perimetrix.ru ).

На этих сайтах можно найти множество примеров, убеждающих в серьезности опасности, которую несут в себе утечки конфиденциальной информации.

V. Методы распознавания защищаемой информации

Ядром любого DLP-решения является механизм, позволяющий распознавать в информации, покидающей защищаемую систему, конфиденциальные фрагменты. Рассмотрим 6 основных механизмов, которые используются для этих целей в DLP-продуктах.

Ручная разметка содержания

Этот подход называют еще контекстным и морфологическим. Определение конфиденциальной информации производится на основе выделения в ней множества значимых, определяющих содержание слов, называемых также ключевыми .

Для каждого из слов определяется некоторый вес , и каждое слово соотносится с некоторой предметной категорией . Например, в категорию «Бухгалтерский отчет» могут попасть общие бухгалтерские термины и какие-то слова, специфичные для бизнеса данной компании. Кроме того, для каждой категории обычно задается и свой порог чувствительности. Система на «боевом дежурстве» ищет в исходящих документах эти самые выделенные, ключевые, слова. Поскольку у каждого ключевого слова имеется некоторый вес и категория (слово может входить и в несколько категорий, в каждую - со своим весом), не составляет труда посчитать суммарный вес обнаруженных в документе ключевых слов для каждой категории. В результате документ может быть автоматически признан конфиденциальным по тем категориям, для которых был превышен порог чувствительности . Эффективность работы описанного механизма может быть существенно повышена за счет подключения внешнего ПО, позволяющего отслеживать не только заданные ключевые слова, но и их словоформы.

Плюсы

• Можно обеспечить очень тонкую настройку на отдельные документы, в результате будут отлавливаться даже их фрагменты.
• Возможен контроль и над вновь создаваемыми документами, если они содержат выделенные ранее ключевые термины.

Минусы

• Подготовка хорошей, тонкой настройки предполагает ручную работу квалифицированного специалиста. Это может занять немало времени.
• Такой специалист будет вовлечен в работу с конфиденциальной информацией.
• На практике трудно осуществим быстрый пилотный запуск системы.
• Относительно высок уровень ложных срабатываний.

Использование контекста хранения информации

Отслеживаются параметры, относящиеся не к содержанию, а к файлу с конфиденциальной информацией. Контролироваться могут формат (причем не по расширению файла, а по его сигнатуре), расположение, размер и т. д. Таким образом, можно задавать правила, препятствующие перемещению файлов, например, определенного формата, вовне.

Плюсы

• Простота реализации и настройки.

Минусы

• Хотя подобные технологии контроля реализованы практически во всех DLP-систе-мах, они могут быть использованы лишь как дополняющие основные методы, основанные на анализе содержания.

Использование меток и программы-агента

Этот метод основан на описанном выше подходе, но существенно его расширяет. Изначально необходимо каким-то образом пометить документ, вручную или путем размещения его в определенную папку в сети. После чего система начнет воспринимать его как конфиденциальный. Технически для осуществления такого механизма необходимо наличие на рабочем месте специальной

Программы-агента, которая, собственно, и могла бы распознавать документ как конфиденциальный, «навешивать» признак конфиденциальности на все производные документы и блокировать отдельные действия пользователя с помеченными документами.

Плюсы

• Простота развертывания и возможность «быстрого старта» реального проекта.
• Контроль операций, когда компьютер вне сети.

Минусы

• Нет контроля за черновиками.
• Не закрывается сценарий стенографирования документа.

Регулярные выражения

С помощью некоторого языка регулярных выражений определяется «маска», структура данных, которые относятся к конфиденциальным. На практике существует немало случаев, когда определение объектов слежения через их формат оказывается эффективным и надежным. В качестве примера можно привести номера кредитных карт, паспортные данные, регистрационные номера автомобилей, активационные коды программного обеспечения и т. д.

Плюсы

• Минимальное время анализа проверяемых данных.
• Высокая надежность обнаружения.

Минусы

• Разработка и отладка регулярного выражения требует привлечения квалифицированного специалиста.
• Может быть применено только к узкому классу данных.

Статистические методы

Использование статистических, вероятностных методов в DLP-системах представляет интерес в некоторых ситуациях. Например, при анализе больших объемов неструктурированных данных или при анализе неявного сходства. Можно предположить, что эти методы будут все активнее применяться на практике, но как дополнительные.

Плюсы

• Уникальная эффективность в некоторых случаях, например, для противодействия примитивным обратимым подменам символов.

Минусы

• Применимо только к небольшому классу сценариев.
• Непрозрачный алгоритм работы.
• Потенциально высокий уровень ложных срабатываний.

Снятие «цифровых отпечатков»

Этот метод основан на построении некоторого идентификатора исходного текста. Как правило, реализуется следующий автоматический алгоритм:

1. Из документа, содержание которого считается конфиденциальным, выделяется текстовое содержание.
2. Текст некоторым образом разбивается на фрагменты.
3. Для каждого такого фрагмента система создает некий идентификатор, что-то вроде «хэша», «отпечатка» - как это называется в документации многих производителей.
4. Конфиденциальный документ представляется в системе набором таких «отпечатков».

Для сопоставления проверяемого текста с множеством конфиденциальных документов для него «на лету» по аналогичному алгоритму строится аналогичный же набор «отпечатков». Если оба множества отпечатков демонстрируют некоторую схожесть, система диагностирует попытку утечки. Как правило, реализуется алгоритм «оцифровки» таким образом, что по «отпечаткам», создаваемым системой, восстановить исходный документ невозможно.

Плюсы

• Процесс определения конфиденциального документа полностью автоматизирован, не требуется привлечения консультанта для разметки текста.
• Быстрая настройка системы на новые документы.
• Отслеживание черновиков и фрагментов документа.
• Осуществление контроля утечек записей из баз данных.
• Минимальное время задержки при анализе исходящих документов.
• Низкий уровень ложных срабатываний.

Минусы

• Хранение «цифровых отпечатков» требует дополнительных ресурсов.
• Размер надежно распознаваемого фрагмента обычно составляет от половины страницы текста.

Необходимо отметить, что все DLP-системы поддерживают несколько механизмов идентификации, дополняющих друг друга в различных сценариях.

V. Как работает DLP-система

Рассмотрим схематично, как функционирует DLP-система, противодействующая сетевому и локальному сценариям утечки информации.

Стержневой функционал DLP-системы можно условно разделить на три блока:

• настройка системы на данные, определенные как конфиденциальные;
• распознавание действий, направленных на перемещение конфиденциальных данных;
• формирование доказательной базы для расследования инцидентов.

Настройка системы на данные

В первую очередь необходимо определить данные, перемещение которых будет контролироваться системой, «предъявить» их системе с использованием каких-либо методов, описанных в предыдущей главе и определить реакцию системы на обнаруженные инциденты. Важны также и параметры реакции на инцидент. Предполагает ли она блокирование какой-либо операции: отправки электронного письма, создания экранной копии защищаемого документа, записи данных на USB-накопи-тель. Независимо от блокирования практически всегда в журнал системы производится запись максимально подробной предметной информации об инциденте. Необходимо описать и правила информирования об инциденте

• сотрудника подразделения, отвечающего за обеспечение информационной безопасности;
• лица, являющегося владельцем информации;
• самого подозреваемого в попытке организации утечки.

Это лишь основные настройки базового функционала практически любой DLP-системы.

Распознавание подозрительных действий пользователей

В случае противодействия утечкам с использованием сетевого сценария , DLP- система осуществляет перехват (блокирование) или зеркалирование (только аудит) отправки, проводит анализ содержания отправки в соответствии с используемыми механизмами контроля. Затем, в случае обнаружения подозрительного содержания, происходит информирование ответственного сотрудника, а детали инцидента вносятся в журнал системы.

Сама же отправка может быть приостановлена, если схема подключения DLP-модуля позволяет это сделать. Надо отметить, что большинство DLP-сис-тем предполагает осуществление «досылки» задержанных ранее сообщений. Назначенный сотрудник оценивает, насколько адекватным был вердикт системы и, если тревога оказывается ложной, вручную отдает команду провести отправку задержанного сообщения.

Подобным образом ведет себя и DLP-система, контролирующая операции с данными на компьютере пользователя . Локальный агент

• отслеживает факт обращения к конфиденциальной информации (может использоваться механизм меток);
• блокирует все запрещенные действия (print screen, печать, формирование отправки через коммуникационные каналы и т. д.);
• блокирует обращение к файлу через программы, не внесенные в число разрешенных для работы с данным файлом;
• формирует «цифровые отпечатки» открытого документа и препятствует отправке конфиденциального содержания, «набитого» в другой файл;
• формирует журнал событий, который при очередном сеансе связи передается в консолидированную базу инцидентов.

Важно понимать, что при наличии локального агента с базой меток и «цифровых отпечатков» вердикт принимается на самой рабочей станции. Таким образом удается в онлайн-режиме оперативно блокировать запрещенные действия без потерь времени на обращение к сетевому хранилищу (в том числе, когда ноутбук находится вне сети - в дороге). Итак, сетевые механизмы перехвата оперируют с уже сформированными пакетами, в то время как агентское решение отслеживает сами действия на конечной рабочей станции. Надо отметить, что большинство DLP-решений использует комбинированный подход: и сетевой перехват отправки, и локальный агент.

VI. Основные игроки рынка

Представленные ниже оценки преимуществ отдельных продуктов составлены исходя из опыта работы над реальными проектами. Все цены приводятся лишь в качестве общих ориентиров и являются примерными. Они предполагают полную стоимость проекта, включая интеграционные и аналитические работы. Специфика проектов по внедрению систем противодействия утечкам такова, что реальная оценка их стоимости может быть подготовлена только по результатам исследования конкретной ситуации у заказчика.

InfoWatch

В настоящее время лидирующие позиции на российском рынке сохраняет компания InfoWatch, приложившая немалые усилия для популяризации идей борьбы с инсайдерами. В качестве основного механизма распознавания конфиденциальной информации в продуктах этой компании используется анализ содержания (на базе уникального лингвистического «движка») и формальных атрибутов отправки. Детальная проработка «тонкой» лингвистической разметки позволяет достичь высокого качества распознавания, но надо отметить, что этот процесс требует времени и предполагает оказание профессионального сервиса.

Решение InfoWatch предоставляет развитые средства контроля сетевых сценариев утечки с использованием корпоративной почты и веб-соединения. В этой связи можно упомянуть появление в составе решения универсального прозрачного прокси-сервера, осуществляющего фильтрацию данных. Применение этого подхода, наряду с использованием отдельных перехватчиков, позволяет выбрать наиболее оптимальную для заказчика схему работы решения.

Другая важная тенденция - включение средств шифрования в решение по защите от утечек - также не осталась без внимания вендора. В линейке уже появился продукт InfoWatch CryptoStorage, призванный решать эту задачу. Необходимо отметить, что в состав InfoWatch Traffic Monitor входит собственное хранилище теневых копий перехваченных данных. При этом данные хранятся в структурированном виде с указанием категории и с сохранением возможности полнотекстового поиска. Это позволяет проводить ретроспективный анализ данных и облегчает расследование отдаленных по времени инцидентов.

К явным преимуществам решения на базе продуктов InfoWatch можно также отнести интерфейс на русском языке, наличие лицензии российских контролирующих органов на ряд версий, солидный опыт по внедрению, накопленный самой компанией и ее партнерами, и, конечно же, близость команды разработчиков. Сложно назвать среднюю фиксированную цену проекта на базе InfoWatch, поскольку его реализация включает не только поставку программного обеспечения, но и аппаратное оснащение, а также работы консультанта по подготовке базы контентного анализа. В среднем внедрение всех компонент InfoWatch Traffic Monitor в сети на 1000 рабочих мест может составить от $300 тыс. до $500 тыс.

Websense

Компания Websense, мировой лидер решений по веб-фильтрации, приобрела в 2007 году фирму PortAuthority Technologies, что позволило ей занять ведущие позиции на рынке систем для предотвращения утечек конфиденциальных данных. Линейка продуктов Websense Data Security Suite (DSS), появившаяся на российском рынке во второй половине 2007 года, включает несколько модулей, которые могут приобретаться отдельно. Основным механизмом распознавания конфиденциальной информации в продуктах Websense DSS является «цифровой отпечаток», реализованный в запатентованной технологии PreciseID.

Поддерживаются и другие методы идентификации: правила, словари, статистический анализ. Технология устойчива к операциям вставки-копирования и частичного изменения содержимого документа, не зависит от языка документа и поддерживает русскоязычные кодировки. По опыту работы с этой технологией можно сказать, что она действительно показывает высочайшее качество распознавания и близкий к нулевому уровень ложных срабатываний, сохраняя эффективность даже при некотором изменении содержания. При этом настройка системы на вновь подключаемый документ занимает минуты. Важной и востребованной является возможность противодействовать утечкам содержания реляционных баз данных, также реализованная в технологии PreciseID.

Решение предоставляет широкие возможности по контролю данных отдельных полей, их комбинаций, позволяет задавать пороговые значения количества пересылаемых записей, отслеживать отправку этой информации в теле, теме или во вложениях письма и многое другое. Решение Websense DSS контролирует все основные каналы передачи данных, включая исходящую и внутреннюю электронную почту, исходящий веб-трафик, ftp, приложения обмена мгновенными сообщениями, сетевую печать. Необходимо отметить также реализованную в модуле Websense Data Discover возможность контроля данных на конечных станциях и в сетевых хранилищах.

Этот механизм позволяет осуществлять регулярные проверки на предмет обнаружения конфиденциальных документов, их фрагментов и «черновиков», используя возможности технологии PreciseID. Что касается защиты от локальных сценариев утечек, в настоящее время используется интеграция с решениями других производителей. Но уже до конца этого года компания планирует выпуск собственного агента Websense DSS, функциональность которого будет перекрывать практически все сценарии утечек с конечной рабочей станции. Затраты на проект внедрения решения по защите от утечек на базе линейки Websense DSS в сети на 1000 рабочих мест могут в среднем составить $100–150 тыс. при стоимости лицензий на полный набор модулей около $70 тыс. Продукт предоставляется на условиях подписки, то есть требуется ежегодное продление лицензий.

McAfee

Решение для защиты от утечек McAfee Host DLP появилось на российском рынке в конце 2007 года. Оно базируется на применении программы-агента, которая управляется с единой консоли McAfee ePolicy Orchestrator, устанавливается на компьютер и контролирует операции пользователя с конфиденциальной информацией. В настоящее время в линейку McAfee Data Protection наряду с DLP-функциональнос-тью включены также широкие возможности по шифрованию данных и контролю внешних устройств. Соответственно, McAfee Data Protection может успешно использоваться и для решения задачи по контролю политик использования внешних уcтройств, например, USB-накопителей.

По опыту использования этого продукта можно сказать, что он обеспечивает надежную защиту через механизмы тэггирования (по сути, установки меток) документов и снятия «цифровых отпечатков». Продукт демонстрирует удивительную чувствительность, реагируя даже на небольшие фрагменты защищаемых документов - вплоть до нескольких строк. Наряду с возможностями мониторинга и блокирования отправки информации через корпоративную почтовую систему, http, ftp, системы передачи мгновенных сообщений, продукт позволяет блокировать такие операции, как копирование фрагментов защищаемого документа через clipboard и снятие экранной копии.

Важно, что агент продолжает выполнять свои защитные функции даже когда ноутбук с данными находится вне сети предприятия - отключить процесс неподготовленному пользователю не под силу. Если заказчик выбирает продукты McAfee для построения полноценной защиты и от внутренних угроз, и от внешних (вирусы, сетевые атаки и т. д.), это открывает ему дополнительные возможности. В частности, упрощается управление системой информационной безопасности, появляются дополнительные сценарии контроля, минимизируются общие затраты и т. д.

Благодаря использованию системы управления McAfee ePolicy Orchestrator (одной из лучших в антивирусной индустрии) и удачной реализации программы-агента это решение подойдет для компаний с распределенной инфраструктурой и большим парком переносных компьютеров. А с учетом относительно демократичной политики лицензирования, продукт устроит и небольшие предприятия с парком от 50-ти компьютеров. Оценочная стоимость внедрения наиболее полного решения McAfee Total Protection for Data (TDA), включающего McAfee DLP, McAfee Endpoint Encryption и McAfee Device Control на 1000 пользователей может составить $100–130 тыс.

VII. С чего начать?

Этот материал не смог охватить еще очень много интересных вопросов использования систем противодействия утечкам информации. Как подойти к выбору DLP-системы? Как построить технико-экономическое обоснование ее использования? Что может быть включено в пилотное внедрение DLP-системы и на какие вопросы следует при этом обратить внимание? Как вплетаются работы по внедрению DLP-системы в общую схему управления информационной безопасностью? Каковы особенности проектов по внедрению таких систем?

Автор надеется продолжить изложение этих тем в последующих публикациях, а в завершение хотелось бы ответить на вопрос: «Так с чего же начать?» Практика показывает, что полноценное внедрение системы противодействия утечкам информации на базе одного из DLP-продуктов возможно только при активном участии специализированного системного интегратора. И первое, с чего, пожалуй, стоит начать, - обратиться к консультанту. Это может быть IT-компания, обладающая солидным опытом внедрения систем противодействия утечкам информации. Совместно вам предстоит пройти три начальных этапа.

Первое - обсудить с группой экспертов консультанта текущую ситуацию и цель внедрения DLP-системы на предприятии.

Второе - принять участие в «живой» демонстрации предлагаемых к внедрению DLP-систем. В рамках показа стоит попробовать системы, что называется, «на вкус» и совместно с экспертами выбрать одну из них для пилотного развертывания.

И, наконец, третье - согласовать с консультантом параметры пилотного запуска системы, зафиксировать ожидания от его реализации и провести развертывание На деле все эти стадии могут быть завершены в срок от двух до трех месяцев, после чего можно приступать к основному проекту по внедрению системы противодействия утечкам информации.

Вениамин Левцов
Директор по развитию направления ИБ
LETA IT-company

Журнал "IT Manager", август 2008 года

У течка информации является серьезной опасностью для многих предприятий. Она может произойти в результате умысла третьих лиц или по неосторожности сотрудников. Умышленная организация утечки совершается с двумя целями: первой из них становится нанесение ущерба государству, обществу или конкретному предприятию, эта цель характерна для проявлений кибертерроризма; второй целью является получение преимущества в конкурентной борьбе.

Непреднамеренная утечка происходит чаще всего по неосторожности сотрудников организации, но также может привести к серьезным неблагоприятным последствиям. Создание системы защиты информационных активов от утраты в компаниях всех типов должно осуществляться на профессиональном уровне, с использованием современных технических средств. Для этого необходимо иметь представление о каналах утечки и способах блокировки этих каналов, а также о требованиях, предъявляемых к современным системам безопасности.

Принципы проектирования систем защиты

Существуют определенные принципы, на которых должна основываться комплексная система мер по защите конфиденциальной информации от утечек:

• непрерывность работы системы в пространстве и времени. Используемые способы защиты должны контролировать весь и материальный, и информационный периметр круглосуточно, не допуская возникновения тех или иных разрывов или снижения уровня контроля;
• многозональность защиты. Информация должна ранжироваться по степени значимости, и для ее защиты должны применяться разные по уровню воздействия методы;
• расстановка приоритетов. Не вся информация одинаково важна, поэтому наиболее серьезные меры защиты должны применяться для сведений, имеющих наивысшую ценность;
• интеграция. Все компоненты системы должны взаимодействовать между собой и управляться из единого центра. Если компания холдинговая или имеет несколько филиалов, необходимо настроить управление информационными системами из головной компании;
• дублирование. Все наиболее важные блоки и системы связи должны быть продублированы, чтобы в случае прорыва или уничтожения одного из звеньев защиты ему на смену пришел контрольный.

Построение систем такого уровня не всегда требуется небольшим торговым фирмам, но для крупных компаний, особенно сотрудничающих с государственным заказчиком, оно является насущной необходимостью.

Административно-организационные меры

За их соблюдение должен нести ответственность руководитель компании, а также один из его заместителей, в чьем ведении находится служба безопасности. Почти 70% от общей степени безопасности сведений зависит именно от административно-технических мер, так как в деятельности служб коммерческого шпионажа использование случаев подкупа сотрудников встречается гораздо чаще, чем использование специальных технических средств хищения сведений, требующих высокой квалификации и раскрытия информации третьим лицам, непосредственно не участвующим в конкурентной борьбе.

Разработка документации

Все нормативно-правовые акты организации, посвященные защите коммерческой тайны и иных сведений, должны соответствовать самым строгим требованиям, предъявляемым к аналогичным документам, необходимым для получения лицензии. Это связано не только с тем, что они наиболее проработаны, но и с тем, что качественная подготовка этого типа документации даст в будущем возможность защиты позиции компании в суде при возникновении споров об утечке информации.

Работа с персоналом

Персонал является наиболее слабым звеном в любой системе защиты информации от утечек. Это приводит к необходимости уделять работе с ним максимальное внимание. Для компаний, работающих с государственной тайной, предусмотрена система оформления допусков. Иным организациям необходимо принимать различные меры для обеспечения ограничения возможности работы с конфиденциальными данными. Необходимо составить перечень сведений, составляющих коммерческую тайну, и оформить его в качестве приложения к трудовому договору. При работе с информацией, содержащейся в базе данных, должны быть разработаны системы допуска.

Необходимо ограничить все возможности копирования и доступ к внешней электронной почте. Все сотрудники должны быть ознакомлены с инструкциями о порядке работы со сведениями, содержащими коммерческую тайну, и подтвердить это росписями в журналах. Это позволит при необходимости привлечь их к ответственности.

Пропускной режим, существующий на объекте, должен предполагать не только фиксацию данных всех посетителей, но и сотрудничество только с охранными предприятиями, которые также соответствуют всем требованиям безопасности. Ситуация, когда сотрудник ЧОПа дежурит в ночное время на объекте, в котором сотрудники для удобства системного администратора записывают свои пароли и оставляют их на рабочем столе, может являться столь же опасной, как и работа хакера-профессионала или заложенные в помещении технические средства перехвата.

Работа с контрагентами

Достаточно часто виновниками утечек информации становятся не сотрудники, а контрагенты компании. Это многочисленные консалтинговые и аудиторские компании, фирмы, поставляющие услуги по разработке и обслуживанию информационных систем. Как достаточно любопытный, хоть и спорный, пример можно привести украинскую ситуацию, где была запрещена работа ряда дочерних компаний 1С из-за подозрений в возможности хищения ее сотрудниками конфиденциальной бухгалтерской информации. Ту же опасность представляют распространенные сегодня облачные CRM-системы, которые предлагают услуги облачного хранения информации. При минимальном уровне их ответственности за сохранность доверенных им сведений никто не сможет гарантировать, что вся база телефонных звонков клиентов, записанная в системе при ее интеграции с IP-телефонией, не станет одномоментно добычей конкурентов. Этот риск должен оцениваться как очень серьезный. При выборе между серверными или облачными программами следует выбирать первые. По данным Microsoft число кибератак на облачные ресурсы в этом году возросло на 300%

Столь же осторожно необходимо относиться ко всем контрагентам, которые требуют передачи им данных, составляющих коммерческую тайну. Во всех договорах должны быть предусмотрены условия, вводящие ответственность за ее разглашение. Достаточно часто акты оценки собственности и акций, аудиторских проверок, консалтинговых исследований перепродаются конкурирующим организациям.

Планировочные и технические решения

При планировании архитектуры помещения, в котором проводятся переговоры или находится защищаемая информация, должны соблюдаться все требования ГОСТа по способам защиты. Помещения переговорных должны быть способны пройти необходимую аттестацию, должны применяться все современные способы экранирования, звукопоглощающие материалы, использоваться генераторы помех.

Технические средства и системы предотвращения утечек

Для защиты информации от утечки или хищения необходимо применять широкий спектр мер аппаратно-технического характера. Современные технические средства подразделяются на четыре группы:

• инженерные;
• аппаратные;
• программные;
• криптографические.

Инженерные

Эта категория средств защиты применяется в рамках реализации планировочно-архитектурных решений. Они представляют собой устройства, физически блокирующие возможность проникновения посторонних лиц к охраняемым объектам, системы видеонаблюдения, сигнализации, электронные замки и другие аналогичные технические приспособления.

Аппаратные

К ним относятся измерительные приборы, анализаторы, технические устройства, позволяющие определять места нахождения закладных приборов, все, что позволяет выявить действующие каналы утечки информации, оценить эффективность их работы, выявить значимые характеристики и роль в ситуации с возможной или произошедшей утратой сведений. Среди них присутствуют индикаторы поля, радиочастотометры, нелинейные локаторы, аппаратура для проверки аналоговых телефонных линий. Для выявления диктофонов используются детекторы, которые обнаруживают побочные электромагнитные излучения, по тому же принципу работают детекторы видеокамер.

Программные

Это наиболее значимая группа, так как с ее помощью можно избежать проникновения в информационные сети посторонних лиц, блокировать хакерские атаки, предотвратить перехват информации. Среди них необходимо отметить специальные программы, обеспечивающие системную защиту информации. Это DLP-системы и SIEM-системы, наиболее часто применяемые для создания механизмов комплексной информационной безопасности. DLP (Data Leak Prevention, системы предотвращения утечек данных) обеспечивают полную защиту от утраты конфиденциальной информации. Сегодня они настраиваются в основном на работу с угрозами внутри периметра, то есть исходящими от пользователей корпоративной сети, а не от хакеров. Системы применяют широкий набор приемов выявления точек утраты или преобразования информации и способны блокировать любое несанкционированное проникновение или передачу данных, автоматически проверяя все каналы их отправки. Они анализируют трафик почты пользователя, содержимое локальных папок, сообщения в мессенджерах и при выявлении попытки переправить данные блокируют ее.

(Security Information and Event Management) управляют информационными потоками и событиями в сети, при этом под событием понимается любая ситуация, которая может повлиять на сеть и ее безопасность. При ее возникновении система самостоятельно предлагает решение об устранении угрозы.

Программные технические средства могут решать отдельные проблемы, а могут и обеспечивать комплексную безопасность компьютерных сетей.

Криптографические

Комплексное применение всего диапазона методов защиты может быть избыточным, поэтому для организации систем защиты информации в конкретной компании нужно создавать собственный проект, который окажется оптимальным с ресурсной точки зрения.

Построение любой системы защиты начинается с изучения потенциальных рисков и создания модели угроз. Только в этом случае можно говорить о действительно успешном решении задачи обеспечения безопасности. Защита от утечек конфиденциальной информации не является исключением из этого правила. В качестве угроз здесь выступают каналы, по которым данные могут несанкционированно покидать пределы информационной системы организации.

На сегодняшний день существует целый набор потенциально опасных каналов, через которые могут происходить утечки конфиденциальной информации из корпоративной сети. Некоторые из них очевидны – мобильные устройства и накопители, стационарные ПК и серверы, Интернет и электронная почта. Другие же каналы утечек часто выпадают из внимания и остаются не защищенными. Среди них можно отметить бумажные документы, архивные копии данных и пр.

Степень угрозы у каждого из возможных каналов разная. Некоторые из них относятся к числу наиболее распространенных и нуждаются в обязательном контроле практически во всех организациях. Другие же, для многих компаний, представляют собой угрозу скорее теоретическую, нежели практическую. При этом ситуация не статична, она постоянно изменяется. Появляются новые потенциально опасные каналы утечки информации, изменяется популярность старых.

Актуальную информацию о распространении каналов можно почерпнуть из результатов исследований утечек конфиденциальной информации. В нашей стране подобные отчеты представляют компании, специализирующиеся на разработке DLP-систем: InfoWatch и SecurIT . Стоит оговориться, что в них фигурируют данные, собранные по всему миру, а не только в России. Впрочем, в этом нет абсолютно ничего удивительного. В нашей стране публикуется крайне малая часть инцидентов, поэтому о качественной статистике говорить не приходится.

Компьютеры

Одним из основных каналов утечки всегда были компьютеры, на которых хранится конфиденциальная информация. Это могут быть как серверы (например, сервер баз данных, почтовый сервер и пр.) и рабочие станции корпоративной сети, так и ноутбуки пользователей. Первые постоянно находятся в помещениях организации и не могут выноситься наружу сотрудниками. Вторые используются для выездной работы и могут свободно покидать территорию офиса. Таким образом, ноутбук, который используется вместо ПК на рабочем месте, тоже может считаться стационарным компьютером в плане обеспечения безопасности.

Рисунок 1: Распределение утечек по каналам в 2010 году (по данным отчета InfoWatch)

Зачем нужно это разделение? Дело в том, что для стационарных и мобильных компьютеров модели угроз несколько различаются. Для обоих указанных типов существует общий набор способов утечки конфиденциальной информации. Например, несанкционированная печать документов, копирование данных на съемные накопители, последствия действий вредоносных программ (например, программ-шпионов) и пр.

Применительно к мобильным компьютерам добавляется еще одна угроза – риск случайно утери или физической кражи ноутбука с конфиденциальной информацией. В случае стационарного ПК вероятность такого события стремится к нулю (случаи обкрадывания офисов с выносом компьютерного оборудования достаточно редки). Ноутбуки же теряются, судя по сообщениям в прессе, достаточно регулярно. Таким образом, если для стационарных компьютеров необходима лишь DLP-система, контролирующая все основные каналы утечки данных, то для мобильных дополнительно требуется шифрование конфиденциальной информации.

Мы не зря упомянули, что компьютеры долгое время были основным каналом утечки конфиденциальной информации. По данным InfoWatch в 2010 году на них пришлось 37% всех утечек. В 2011 году ситуация изменилась достаточно сильно. Доля компьютеров в утечках сократилась до 20,5%, то есть снизилась более чем в 1,5 раза. SecurIT приводит другие цифры –22,5% в 2010 и 14,5% в 2011 годах. Однако общая тенденция к снижению доли компьютеров налицо. Впрочем, и оставшихся цифр более чем достаточно, чтобы относиться к данному каналу со всей серьезностью.

Рисунок 2: Распределение утечек по каналам в 2011 году (по данным отчета InfoWatch)

Также можно отметить тот факт, что доля утечек, приходящаяся на мобильные компьютеры, постепенно снижается (по данным InfoWatch в 2010 году их доля сократилась примерно на 1,5%, а в 2011 – на 2,4%). По всей видимости, многочисленные публикации в прессе не прошли даром, а потому к ноутбукам стали относиться более серьезно, применяя шифрование.

Другой причиной, заставляющей говорить о компьютерах как об основном канале утечек конфиденциальной информации, является следующий факт. Согласно исследованиям, они занимают просто огромную долю среди умышленных утечек данных. По данным InfoWatch, в 2010 году на них приходилось 53% (39% на стационарные компьютеры и сервера и 14% на ноутбуки), а в 2011 – 21,2% (15,4% на стационарные и 5,8% на мобильные компьютеры) всех подобных инцидентов. Между тем, именно умышленные утечки представляют собой наиболее серьезную угрозу и приводят к самым неприятным последствиям.

Интернет

Сегодня Интернет активно используется во многих бизнес-процессах. Но, при этом, он представляет собой и достаточно серьезный канал для утечки конфиденциальной информации. По данным SecurIT на глобальную сеть в 2010 году приходилось около 35%, а в 2011 – уже 43,9% всех инцидентов, связанных с компрометацией данных (включая хакерские действия, подавляющее большинство которых осуществляется с использованием Интернета). InfoWatch приводит другие данные – 23% в 2010 и 19,8% в 2011. Видно, что эти цифры, в целом, перекликаются с показателями утечек через компьютеры. Именно поэтому Интернет и компьютерное оборудование на сегодняшний день и являются основными каналами утечки информации.

Рисунок 3: Распределение утечек по каналам в 2010 году (по данным отчета SecurIT)

При этом сеть Интернет можно считать несколько меньшей угрозой информационной безопасности, потому что большая часть утечек через глобальную сеть относится к категории случайных. Речь идет о неосторожных обращениях с конфиденциальной информацией (в основном, с персональными данными), которая публикуется в открытом доступе на сайте или социальных сетях, отправляется по электронной почте или передается в ходе частных бесед по ICQ и Skype. С другой стороны, в последние годы наблюдается стойкая тенденция роста количества утечек данных через Интернет. Поэтому недооценивать данный канал все-таки нельзя.

Говоря об Интернете, нужно понимать, что он представляет собой целый набор каналов утечки конфиденциальной информации. К сожалению, в отчетах его редко разбивают на части (поэтому мы и написали о нем как об одном канале). Тем не менее, некоторые данные найти можно. Достаточно долго самым значительным интернет-каналом утечки является электронная почта. Так, например, в 2010 году по SecurIT на нее приходилось 17,8% всех утечек информации. Но уже в 2011 их доля снизилась всего до 2,8%. Впрочем, InfoWatch приводит несколько иные цифры. По данным этой компании в 2010 году на электронную почту пришлось 7%, а в 2011 – 6,2% от общего количества инцидентов, связанных с нарушением конфиденциальности данных. При этом большая их часть приходится на случайные утечки.

Контролировать электронную почту, безусловно, нужно. Однако, здесь надо учитывать один очень важный момент. Сегодня сотрудники в компаниях могут использовать как корпоративный почтовый сервер, так и бесплатные веб-сервисы в Интернете. И оба этих варианта опасны с точки зрения информационной безопасности. Поэтому необходимо, чтобы внедряемая DLP-система имела возможности по контролю как корпоративной почты, так и веб-сервисов.

Рисунок 4: Распределение утечек по каналам в 2011 году (по данным отчета SecurIT)

Следующим потенциально опасным интернет-каналом утечки конфиденциальной информации являются всевозможные системы общения, в основном, IM-клиенты и Skype. Ситуация усугубляется тем, что количество первых постоянно увеличивается. Если раньше были распространены буквально два-три основных клиента (ICQ, QIP и пр.), то сегодня многие веб-сервисы обзаводятся собственными программами для быстрого общения. Контроль Skype, который стал популярен в последнее время, тоже осложнен из-за передачи данных по зашифрованному каналу связи. Впрочем, последние версии современных DLP-решений успешно справляются с контролем практически всего спектра программ для обмена быстрыми сообщениями.

Еще одним немаловажным интернет-каналом утечек являются различные веб-сервисы. Особенно актуальны в этом плане столь популярные сегодня социальные сети. Обладая развитыми средствами общения, которые включают в себя обмен сообщениям и публикацию файлов, и огромным количеством пользователей, потенциально они являются одной из наиболее опасных с точки зрения информационной безопасности веб-сервисов. Однако нельзя забывать и о боле традиционных средствах обмена информацией. К ним относятся форумы, доски объявлений и блоги. Несмотря на меньшее распространение, они также могут стать каналом утечки конфиденциальной информации.

Внедрять контроль над использованием перечисленных выше веб-сервисов необходимо не только для обнаружения и предотвращения попыток передач конфиденциальной информации, но и для выявления нелояльно настроенных сотрудников. Наиболее яркий пример – поиск работников, активно использующих HR-сайты: просматривающих вакансии, отправляющих резюме и пр. Подобные действия позволяют предположить возможный переход таких сотрудников в конкурирующие организации.

Отдельного упоминания заслуживают всевозможные хакерские атаки. В отчете SecurIT они выделены в отдельную графу. И, как оказалось, в этом есть свой смысл. В 2010 году на них приходилось всего 6,2% инцидентов, связанных с утечками конфиденциальной информации. А уже в 2011 году эта доля выросла более чем 4(!) раза – до 25,8%. Это свидетельствует о том, что злоумышленники все чаще и чаще используются для похищения данных всевозможное вредоносное ПО, посредством которого и реализуются хакерские атаки на компьютеры с конфиденциальными данными. Причем защита от них относительна проста. Установка, настройка и своевременное обновление антивируса, обновление операционных систем, использование файрвола, фильтрация нежелательных сайтов могут многократно снизить риск успешных хакерских атак на сеть организации.

Съемные накопители

Если почитать прессу, то может показаться, что съемные накопители являются чуть ли не главным источником всех проблем. Журналисты любят рассказывать про потерянные или украденные "флешки" и мобильные диски с конфиденциальной информацией. Однако, на самом деле, съемные накопители становятся причиной инцидентов относительно редко. По данным InfoWatch в 2010 с ними было связано всего 8% утечек данных. Цифра в отчете SecurIT несколько больше – 12,6%. В 2011 доля съемных накопителей уменьшилась. По данным SecurIT на них пришлось всего 6,3%, а по данным InfoWatch – 6,2% от общего количества инцидентов, связанных с утечками конфиденциальных данных.

Рисунок 5: Распределение умышленных утечек по каналам в 2011 году (по данным отчета InfoWatch)

Объясняется это достаточно просто. Несмотря на то, что всевозможные USB-накопители получили широкое распространение, они не так часто используются для переноса и, уж тем более, хранения конфиденциальных данных. Кроме того, этот канал относительно легко контролируется. Достаточно ввести обязательное шифрование данных на корпоративных "флешках", чтобы обезопасить их в случае утери накопителя.

Бумажные документы

Говоря об информационной безопасности и защите от утечек конфиденциальных данных, часто забывают о таком канале, как бумажные документы. Между тем, недооценивать его ни в коем случае нельзя. Согласно исследованиям, инцидентов, связанных с распечатанной на бумаге информацией, происходит достаточно много. По данным SecurIT в 2010 году их доля в общем количестве составляла 12,7%. InfoWatch предоставила еще более пессимистичную цифру – 20%. Правда, в 2011 году ситуация несколько улучшилась. SecurIT в своем отчете привела цифру в 7,4%, а InfoWatch – 19,1%. Тем не менее, видно, что бумажные документы сплошь и рядом оказываются более опасными, нежели съемные накопители и электронная почта.

Ситуацию усугубляет два факта. Во-первых, в большинстве организаций контроль заканчивается на печати документа. После этого его перемещение по офису и утилизация никак не отслеживается и полностью остается на совести сотрудников. Во-вторых, на сегодняшний день контроль за бумажными документами возможен только с помощью организационных мер (серьезно говорить о внедрении в офисе режима секретности по примеру организаций, работающих с документами, представляющих государственную тайну, мы не будем). Трудовая же дисциплина во многих компаниях остается достаточно низкой. В результате чего документы с конфиденциальной информацией отправляются не в шредер, а просто в мусорную корзину. Откуда они попадают в мульду и могут быть найдены злоумышленниками.

В российских реалиях, со стремлением к тотальной экономии, актуальна и другая модель угроз, связанных с бумажными носителями. Речь идет о черновиках – забракованных или уже ненужных листах, чистых с одной стороны. Чаще всего они используются для печати каких-либо внутренних документов. При этом возникает риск того, что конфиденциальные данные попадут в руки сотрудников, которые не должны иметь к ним доступ.

Примечательно распределение утечек конфиденциальной информации, связанных с бумажными документами, по умышленным и случайным инцидентам. Дело в том, что практически все они относятся ко второй категории. Более того, именно бумажные документы являются основным каналом случайной утечки информации и уверенно удерживают первое место. По данным InfoWatch их доля в общем числе достигает 30%! В то время как среди умышленных утечек они делят третье место с Интернетом со значением в 9%.

Другие каналы утечки

Помимо основных, перечисленных выше, существует немало других каналов утечки конфиденциальной информации. Они значительно менее распространены, но, тем не менее, забывать о них нельзя. Тем более, что многие из этих каналов используются злоумышленниками для целенаправленной добычи определенной информации. То есть такие утечки, несмотря на их малый процент в общей доле, способны нанести ощутимый ущерб любой организации.

Рисунок 6: Распределение случайных утечек по каналам в 2011 году (по данным отчета InfoWatch)

В первую очередь к таким каналам относятся архивные накопители, предназначенные для хранения копий конфиденциальной информации, включая всевозможные базы данных. Во многих компаниях информация на них записывается в открытом виде. Поэтому, при утере или краже такого накопителя данные легко становятся добычей злоумышленников. Это видно и по отчетам. Так, согласно данным InfoWatch, в 2010 на резервные накопители пришлось всего 2% инцидентов, связанных с утечками конфиденциальной информации. А уже в 2011 году их доля выросла до 8,5%.

Другим каналом утечки конфиденциальных данных является некорректная утилизация компьютерного оборудования и носителей. Во многих организациях списанные компьютеры продаются или передаются в некоммерческие учреждения. И, при этом, бывают случаи, когда ПК отдаются в том виде, в каком они есть, без удаления всей информации. Но, даже если жесткий диск компьютера и будет отформатирован, вернуть данные к жизни не составит никакого труда. Перед утилизацией носитель должен быть подвергнут специальной процедуре очистки, которая сделает восстановление информации невозможным.

Помимо этого существует еще несколько каналов утечки конфиденциальной информации, включая мошеннические действия в отношении сотрудников компании, фишинг и пр.

Выводы

В 2010 году наибольшее распространение получило два канала утечки конфиденциальной информации – это кража компьютеров, включая рабочие станции сети, сервера и ноутбуки, и Интернет, включая электронную почту, IM-клиентов, социальные сети и пр. На первый приходится от 22,5% до 37% всех инцидентов, а на второй – от 23% до 35% (по данным разных исследований). Причем компьютеры превалируют в умышленных (их доля в умышленных утечеках доходит до 53%), а Интернет – в случайных утечках данных (их доля составляет 33%).

В 2011 году ситуация изменилась. Доля компьютеров, в том числе и мобильных, постепенно снижается. В противовес этому увеличивается количество инцидентов, связанных с использованием Интернета. Особенно опасны в плане безопасности оказываются всевозможные веб-сервисы и хакерские атаки (количество последних выросло в 2011 году очень и очень значительно). В соответствии с этими данными и рекомендуется строить защиту от нарушений конфиденциальности информации.

В целом, оба канала могут полностью контролируются с помощью современных DLP-систем. Особое внимание рекомендуется уделить компьютерам. Точнее, политике использования съемных накопителей и принтеров в организации. Вполне возможно, что многим сотрудникам не нужно что-то копировать на "флешки". И запретив им это делать, можно существенно повысить безопасность компании. Отдельно нужно рассматривать мобильные компьютеры. Если они используются в разъездах лучше дополнять систему защиты шифрованием конфиденциальной информации.

Интернет полностью запрещать нельзя. Поэтому, инструменты контроля сетевых каналов обычно основаны на контекстном анализе и имеют вероятностный характер. Тем не менее, поскольку Интернет больше фигурирует в случайных утечках конфиденциальных данных, даже эти средства могут существенно снизить информационные риски организации. Кроме того, необходимо строго придерживаться общей политики безопасности и использовать антивирусы, файрволы, системы фильтрации нежелательных сайтов и пр., что позволяет снизить риск хакерских атак.

Также нельзя забывать про бумажные документы. Инцидентов с ними достаточно много. И, хотя почти все они относятся к категории случайных, такие утечки могут причинить серьёзный ущерб. Контролировать данный канал техническими средствами на практике очень сложно. Уменьшить риски можно путем внедрения комплекса организационных мер, оснащение офиса необходимым оборудованием (шредерами) и повышением трудовой дисциплины сотрудников.

Отдельно можно отметить такой канал утечек конфиденциальной информации, как съемные накопители. По данным исследований он не занимает лидирующих позиций по распространенности – его доля в 2011 году составила чуть более 6%. Однако ситуация со съемными накопителями усугубляется тем, что далеко не все инциденты с ними становятся известны. Обычно публикуются только те утечки, которые связаны с разрешенным в компаниях использованием "флешек". То есть когда данные на них размещаются с ведома руководства. В то же время нередки случаи, когда сотрудники в нарушение политики безопасности копируют конфиденциальную информацию на свои личные съемные накопители, которые впоследствии теряют. Это, опять же, говорит о высокой степени необходимости внедрения DLP-систем в информационную структуру организации с возможностью контроля переноса данных на "флешки".

Остальные каналы утечки конфиденциальных данных распространены меньше. Но это не значит, что их не нужно контролировать. Так, например, доля утечек конфиденциальной информации через резервные накопители в 2011 году выросла более чем в 4 раза. Поэтому в каждом конкретном случае необходимо составлять свою модель угроз и, в соответствие с ней, принимать решение о необходимости внедрения тех или иных средств защиты. Тем более, что постепенно ситуация изменяется, в частности, постоянно увеличивается количество утечек через интернет-каналы.