Устранить течь (WikiLeak Prevention)

Алексей Раевский
генеральный директор компании SECURIT

Современные предприятия накапливают в своих информационных системах большое количество знаний, которые, с одной стороны, используются ими для получения прибыли, с другой – представляют опасность в случае их потери или передачи в конкурирующие компании или в государственные органы. При этом руководство компаний, понимая важность этих данных, не всегда осознает опасность их неправильного или несанкционированного использования. Какие же данные могут представлять интерес для потенциальных злоумышленников?

Что утекает?

Базы данных кадровой службы. В кадровых базах содержится информация о компетенции того или иного сотрудника, а также о его зарплате. Эта информация может быть интересна конкурентам, которые на ее основе смогут переманить ключевых сотрудников компании. В некоторых видах бизнеса, прежде всего связанных с интеллектуальной деятельностью, уход ключевого сотрудника может быть равнозначен потере возможности развития и даже полному выходу из бизнеса.

Бухгалтерская информация. Информация о финансовой стороне работы компании также является слабым местом предприятия. Например, зная гибкость применения российского налогового законодательства, можно предположить, что компания, допустившая попадание своей бухгалтерской информации в руки нечистоплотных сотрудников налоговых или правоохранительных органов, рискует стать объектом шантажа, неоправданного уголовного преследования или даже рейдерской атаки. Да и для совершенно законопослушной компании утечка финансовых данных может сильно ослабить ее позиции в конкурентной борьбе. В результате тщательного анализа этой информации можно оценить реальные объемы продаж, наличие ресурсов для развития в том или ином направлении, финансовую устойчивость в случае кризисов или ценовых войн и т.д.

Сведения о клиентах. Сведения о клиентах и условиях заключенных с ними сделок также представляют собой ценный актив любого предприятия, поскольку содержат информацию о потребностях заказчиков и стоимости, которую они готовы платить за решение своих проблем. Эта информация также может быть использована для причинения вреда конкурентами, поскольку поможет вытеснить компанию с рынка, предлагая ее ключевым заказчикам более выгодные условия.

Технологические секреты. В современном мире высоких технологий промышленные секреты являются важной составляющей бизнеса, и потеря их позволит конкурентам повторить успешные продукты компании и, возможно, предложить на рынке более совершенные продукты с меньшими затратами на исследования и разработку и в более сжатые сроки. Следует отметить, что в России есть закон "О конфиденциальной информации", который позволяет защищать данный тип информации на уровне законодательства, однако для этого нужно соблюдение нескольких условий, например введение на предприятии специального режима защиты конфиденциальной информации, наличие политики безопасности и т.д.

Персональные данные. Сохранение в секрете личной информации пользователей и клиентов также является важной задачей практически любого предприятия – эти требования закреплены законодательно в законе "О персональных данных". Нарушение законодательных требований по работе с персональными данными на предприятии предусматривает серьезные проблемы для руководства, вплоть до уголовной ответственности.

Данные, требующие защиты в соответствии с отраслевыми стандартами. Например, в инансовой сфере и торговле есть требования по установке систем предотвращения утечек данных о кредитных картах в соответствии со стандартом PCI DSS. Сертификацию по этому стандарту должны пройти все, кто хочет тем или иным способом интегрироваться в инфраструктуру международных платежных систем, таких как VISA и Mastercard.

Это далеко не полный список секретов, которые могут быть практически на любом предприятии – он связан скорее с методами ведения бизнеса, а не с компетенцией компании. В то же время у отдельных предприятий скорее всего есть какие-то свои секреты, разглашение которых может привести к серьезным последствиям для бизнеса.

Как утекает?

Корпоративные секреты могут утечь за пределы компании самыми разными способами. В частности, можно разделить утечки на случайные и намеренные. По оценкам экспертов, большинство утечек по количеству (более 80%) приходится на случайные утечки, которые произошли не по злому умыслу, но по халатности операторов или владельцев информации или из-за неправильной конфигурации информационной системы. Среди случайных утечек можно выделить утечки с помощью сетевых служб (по электронной почте, с сайта компании или через Web-почту) и из-за утери носителя – карты памяти, ноутбука или распечатки. В некоторых случаях информация может быть снята при ремонте жесткого диска, компьютера или мобильного телефона. В любом случае утечка является результатом нарушения политики безопасности компании или некорректности отдельных ее положений, не говоря о ситуациях, когда этой политики вообще нет.

Намеренная утечка организуется сотрудником компании специально в надежде на получение прибыли или для причинения вреда собственной компании, чаще всего в качестве мести. Намеренные утечки могут совершаться с использованием специального программного обеспечения. Их виновником может стать как внедренный шпион, так и сотрудник предприятия, который подкуплен заинтересованным лицом или чем-то недоволен. Утечки этого типа более редки, но они могут оказаться более разрушительными, поскольку данные будут перенаправлены тому, кому они действительно интересны, а не случайному человеку, который может и не воспользоваться случаем. Таким образом, защищаться нужно от утечек обоих типов.

Утечки также разделяют по тому, в какой момент происходит съем данных: при хранении, при передаче или во время обработки. Утечки во время хранения могут происходить как с мобильных накопителей или резервных копий, так и с жестких дисков во время их эксплуатации или ремонта. Классическим методом защиты от утечек данного типа является шифрование важных данных во время их хранения, а также инструменты контроля информации при сохранении ее на съемные носители.

Утечки информации при передаче также случаются достаточно часто. Для защиты от таких утечек также приходится использовать шифрование на уровне сетевых протоколов. Сейчас уже есть много технологий, которые позволяют не только защитить канал передачи данных, но также и аутентифицировать его участников.

Данные могут быть скопированы во время обработки с помощью специальных троянских программ, которые сохраняют копии обрабатываемых данных, а затем передают их автору такой программы. Как правило, троянские программы предназначены для скрытого съема информации, то есть должны быть внедрены в операционную систему на низком уровне. Это позволяет отнести троянские программы для перехвата информации к вредоносным программам, с которыми должны бороться антивирусные программы. Поэтому для предотвращения утечек во время обработки нужно установить на каждое рабочее место, где может обрабатываться секретная информация, антивирусное или специальное антишпионское программное обеспечение.

Как защититься?

Кроме классических средств защиты от внешних угроз, компания должна иметь и средства мониторинга и блокирования внутренних утечек, которые могут зафиксировать попытку передачи конфиденциальной информации за пределы локальной сети по различным каналам – через Интернет, съемные носители, с помощью распечатки информации.

Такие системы называются DLP – Data Loss Prevention, то есть программное обеспечение для предотвращения утечек данных. Подобные системы должны иметь механизм распознавания конфиденциальной информации в потоке обычных данных и возможность записи передаваемой информации в архив для анализа инцидентов и проведения расследований. Также они должны блокировать передачу конфиденциальной информации в соответствии с заданными правилами.

Кроме того, необходимо контролировать использование внешних устройств и принтеров на компьютерах пользователей. Для получения полноценной картины по утечкам в компании, проведения расследований и ретроспективного анализа нобходимо наличие архива, в который записывается вся информация, переданная по контролируемым каналам за некоторое время.

Для обнаружения конфиденциальных данных в потоке информации, передаваемой сотрудниками за пределы корпоративной сети предприятия, используется контентный анализ. В стандартные на сегодняшний день требования к технологиям контентного анализа входят обычный поиск в передаваемом сообщении или файле заданного слова с учетом его различных форм, поиск слова по словарю и поиск структурированной информации (например, номера паспорта или номера кредитной карты) по шаблону. Также часто требуются более простые в настройке и часто более надежные самообучающиеся интеллектуальные алгоритмы цифровых отпечатков и анализа методом Байеса. При этом контентный анализ требуется выполнять не только при передаче данных по сети, но и при записи информации на флешки или при печати документов.

Таким образом, несмотря на начальную стадию развития этого сегмента рынка, уже сейчас DLP-технологии предлагают достаточно развитые средства для предотвращения утечек данных. Справедливости ради надо сказать, что большинство продуктов этого класса способно защитить лишь от случайных утечек. Однако грамотное формулирование требований к системе защиты, взвешенный подход к выбору производителя, тщательная настройка и эксплуатация, а главное, комплексный подход к проблеме безопасности позволяют создать достаточно надежное средство защиты от утечек для коммерческого применения.