Средства защиты информации от утечки

В 2007 г. по данным американского Института компьютерной безопасности (Computer Security Institute, CSI) проблемы, связанные с действиями инсайдеров, вышли на первое место, обогнав лидирующие ранее проблемы, касающиеся компьютерных вирусов. На третьем месте — угрозы утраты данных вместе с носителем, прежде всего кражи ноутбуков. В ходе ежегодного опроса, проведенного CSI в 2007 г., было установлено, что данные проблемы не коснулись 54% компаний.

Однако, чтобы остаться в числе компаний, где отсутствует утечка сведений из информационных систем в результате злонамеренных или ошибочных действий авторизованных пользователей, обслуживающего персонала, прежде всего следует сформулировать критерии, позволяющие отличить информацию, утечка которой может нанести ущерб, от всей прочей. Они должны быть сформулированы в политике безопасности компании. Затем, очевидно, нужно утечку этой информации прекратить или предотвратить. Можно в целом наметить два вектора приложения усилий — затруднить операцию вывода информации за границы ИТ-системы компании или обнаружить и обезвредить инсайдеров. Рассмотрим более подробно эти направления.

Первое, что приходит в голову, — это желание лишить сотрудника возможности вынести информацию из ИТ-системы техническими мерами. Существует несколько путей, по которым информация может покинуть компанию:

• электронная почта;
• веб-сайты (веб-почта, форумы и т.д.);
• программное обеспечение для обмена мгновенными сообщениями;
• сменные носители;
• распечатки;
• сети WiFi , bluetouth;
• модемы (сотовые и обычные);
• снимки экрана фотоаппаратом или камерой сотового телефона;
• утечка информации в устном общении.

Проанализировав указанные пути, следует отметить следующее:

• во-первых, каналы утечки характеризуются пропускной способностью. Если через 4-й и 6-й каналы можно легко унести базу данных в несколько гигабайт, то, для того чтобы сделать это по 1-му или 7-му каналу, потребуется уже много времени и усилий, а по 5, 8-му или 9-му каналу сделать этого, вероятно, не удастся вовсе. В то же время утечка персональных данных об одном отдельно взятом клиенте по запросу возможна по любому из этих каналов, так же как и о маркетинговых планах компании;

• во-вторых, ряд каналов может быть перекрыт теми или иными техническими средствами. Для некоторых каналов существует возможность обеспечить довольно развитую политику безопасности. Например, для почты и доступа в web средствами программного обеспечения WebSense Content Protection Suite (CPS) или Infowatch Traffic Monitor можно заблокировать передачу информации, заданной как конфиденциальной. При этом, например, в программном обеспечении WebSense CPS используется технология, позволяющая автоматически создавать наборы цифровых «отпечатков пальцев» по образцу документа, т.е. конфиденциальные документы обрабатываются программой, в результате чего получается набор неких "контрольных сумм", устойчивых к искажениям документа. После этого трафик, проходящий через почтовый и web-шлюз, проверяется на соответствие этим цифровым «отпечаткам пальцев». Если обнаруживаются совпадения, передача блокируется. Infowatch работает иначе: из трафика восстанавливается текст и проверяется на совпадение с заданными правилами, которые задаются вручную.

WebSense также позволяет анализировать трафик систем мгновенной передачи сообщений. Кроме того, существует целый ряд решений, обеспечивающих гибкое управление правами пользователей систем мгновенной передачи сообщений, начиная от выявления трафика мессенджеров и полного его запрета (CheckPoint UTM и ряд других межсетевых экранов) и заканчивая полнофункциональными решениями (Akonix, FaceTime), позволяющими управлять доступом от одного пользователя к другому, их правами (только текстовые сообщения, передача файлов, голоса).

Для управления сменными носителями также существует ряд решений. Применение продуктов WebSense и Infowatch способствует обнаружению и запрещению копирования конфиденциальных документов на сменные носители, продуктов Check Point Endpoint Security, Device Lock и др., установлению политики безопасности по работе со сменными носителями: запрещать все или разрешать только некоторые. Кроме того, Check Point Endpoint Security позволяет шифровать содержимое сменных носителей и разрешать работу только с зашифрованными носителями, а также шифровать содержимое жестких дисков ноутбуков, что исключит утечку информации в случае кражи ноутбука.

Печать, WiFi, модемы можно или разрешить, или запретить. Фотоаппараты запретить крайне тяжело. Устное общение запретить нельзя. Более того, доказано, что если информационная система не замкнута, т.е. взаимодействует с внешним миром, существование скрытых каналов возможно. И вопрос может ставиться только о пропускной способности такого канала или о времени, которое потребуется, чтобы его построить.

Есть другой подход. Тех, кто разглашает (или торгует) конфиденциальную информацию, можно найти и наказать, например, уволить или посадить в тюрьму. В условиях, когда инсайдеры будут полагать, что разглашение конфиденциальной информации с высокой вероятностью приведет их за решетку, большинство откажется от такой деятельности. Те же из них, кто изначально ориентирован на торговлю конфиденциальной информацией как на заработок, сменят работодателя. Для этого помимо реализации некоторых организационных мероприятий необходимо также применить технические средства. Следует обеспечить фиксирование всех попыток выноса информации из ИТ-системы компании и выполнение принципа персональной ответственности, т.е. сопоставить каждый факт вывода информации человеку (пользователю), который это действие осуществил. В этом случае можно использовать указанные продукты.

Infowatch Traffic Monitor и WebSense CPS позволяют архивировать информационный обмен и проводить поиск в архиве. Аналогичный функционал есть у Akonix и FaceTime применительно к мессенждерам. Device Lock обеспечивает выполнение копирования на специальный сервер всей информации, которая копируется на сменные носители, прозрачно для пользователя — в теневом режиме. Тот же функционал возможен и для печати на бумажные носители.

К недостаткам такой стратегии можно отнести тот факт, что она становится работоспособной только после нескольких увольнений или "посадок", а значит, несколько фактов утечки все же произойдет.

Какой можно сделать вывод? По нашему мнению, оптимальной будет такая стратегия. Следует перекрыть лишь те пути утечки, которые могут привести к потере большого объема конфиденциальной информации. Все остальные пути следует контролировать и готовится действовать по второму пути.

Важно также отметить, что нелояльность персонала крайне затрудняет любые работы по противодействию экономическому саботажу, в том числе краже конфиденциальной информации. Если по причине специфической кадровой политики, вызванной особенностями бизнеса или ошибкой менеджмента, большая часть персонала нелояльна, это приводит к существенному увеличению вероятности экономического саботажа, даже бессмысленного для злоумышленника с экономической точки зрения.

Следовательно, на наш взгляд, правильный подход к проблеме защиты от утечки конфиденциальной информации содержит следующие шаги:

• формулирование кадровой политики, ведение работы по обеспечению лояльности персонала;
• разработка политики информационной безопасности в части, касающейся конфиденциальной информации;
• проведение организационных мероприятий, направленных на обеспечение юридической ответственности за разглашение конфиденциальной информации;
• разграничение доступа к конфиденциальной информации в соответствии с политикой, устранение путей утечки больших объемов информации;
• контроль, архивирование информационных потоков, идущих наружу; расследование инцидентов утечек информации с привлечением виновных к ответственности вплоть до уголовной;
• учет прочих факторов, вынесенных за рамки данной статьи (ПЭМИН и др.).

Предыдущая новость:
ЦОД. Cэкономить и не навредить Следующая новость:
Транспорт в будущее