В рубрику "Защита информации и каналов связи" | К списку рубрик | К списку авторов | К списку публикаций
Однако учитывая, что, как правило, до выпуска в эфир видеоконтент высокого качества находится в изолированной сети, с ограниченным доступом к хранилищу, а для выполнения озвучки перевода и наложения субтитров предоставляется видеоконтент заниженного качества (либо с водными знаками или наложениями на "картинку"), версия с хакерской атакой хоть и возможна теоретически, но, откровенно говоря, звучала как попытка переложить собственные просчеты в обеспечении информационной безопасности на внешних злоумышленников. Сразу было понятно, что с наибольшей вероятностью это была внутренняя утечка, а в роли "хакера" выступил инсайдер. В любом случае такой сценарий утечки сериала самый простой и реалистичный, а при наличии простых способов кражи информации искать сложный, по крайней мере, нелогично.
Пример с Первым телеканалом – весьма типичный и показательный. Контент ограниченного доступа создается организациями, главной ценностью и результатом работы которых является интеллектуальная собственность, художественные произведения, инженерно-технические разработки и т.д. Во всех таких случаях в компаниях используется определенный набор программного обеспечения (системы проектирования, графические и видеомонтажные системы, др.), а ценный контент хранится в ограниченном наборе цифровых форматов данных. Как конечные, так и промежуточные результаты работы таких компаний должны тщательно оберегаться от преждевременной публикации (до выпуска в тираж или эфир, до патентования или передачи в производство, до завершения контракта на разработку).
Помимо этого, ценность могут представлять данные корпоративной переписки, договорная документация и базы данных клиентов и подрядчиков.
Очевидно, что решение проблемы не ограничивается какой-либо одной системой, требуется комплекс организационно-технических мер. При этом ключевым звеном будет DLP-система (решение класса Data Leakage Prevention, защита от утечек данных).
Активно продвигаемый рядом DLP-вендоров "метод противодействия утечкам", концепция которого заключается в правиле "выявить утечку и наказать виновного", в данной модели будет абсолютно непродуктивен – никакое наказание нерадивого сотрудника не отменит факт утечки и не остановит – если стимул будет достаточно велик.
В вышеупомянутом примере с утечкой "Шерлока" ценная корпоративная информация (видеоконтент) хранилась во внутренней сети организации в цифровом формате. Доступ к таким файлам внутри и вне организации должен иметь ограниченный круг пользователей, что позволит сформировать перечень (список) авторизованных учетных записей и идентификаторов почтовых аккаунтов и мессенджеров для ограничения ширины контактов ответственных лиц.
Возможности анализа содержимого в случае с видеоконтентом, чертежами и графическими данными, как правило, весьма ограничены либо вообще сводятся к нулю. Однако есть и другие характерные признаки, позволяющие предотвратить утечку такой информации, – это формат данных и размер.
Решением проблемы потенциальной утечки в подобном сценарии будет прежде всего избирательный контроль доступа к различным каналам передачи информации и устройствам хранения данных для сотрудников, вовлеченных в процесс создания ценного контента. Такой контроль должен включать в себя не сколько и не только блокировку передачи данных на основании определенных службой ИБ критериев, но и детальное протоколирование разрешенных и запрещенных попыток их передачи в сочетании с оперативным уведомлением службы безопасности о таковых попытках.
Простое и эффективное практическое решение в плане технического противодействия утечкам данных в рассматриваемой модели угроз сводится к трем пунктам.
Вторая часть решения проблемы предполагает периодические и оперативные проверки рабочих станций и сетевых хранилищ, доступных ответственным пользователям, посредством сканирования файловых систем в целях обнаружения конфиденциальной информации, с последующим выполнением заданных службой безопасности действий с обнаруженными документами (от оперативного уведомления службы ИБ до удаления файлов или помещения в карантин).
Все описанные выше технологии и методы противодействия утечкам в рассматриваемой модели гарантированно реализуются с помощью DLP-комплекса DeviceLock DLP Suite.
С помощью комплекса DeviceLock DLP реализуются разнообразные сценарии противодействия утечкам данных ограниченного доступа через сетевые коммуникации и локальные каналы – от тотального запрета использования отдельных каналов и устройств до пассивного режима наблюдения, когда ведется только мониторинг передаваемых данных с последующим выявлением инцидентов. Между этими крайностями лежат любые сочетания блокировки и протоколирования, включающие выборочное разрешение или блокировку передачи файлов по контролируемым службой ИБ каналам для отдельных пользователей и групп в сочетании с контентной фильтрацией "на лету" – анализом содержимого передаваемых документов и данных, в том числе определенного типа, размера и содержания. В арсенале возможностей комплекса также теневое копирование только представляющих для службы ИБ файлов и данных, тревожные оповещения по значимым событиям, автоматическое сканирование рабочих станций и сетевых хранилищ и многое другое.
Полная интеграция централизованного управления Device-Lock DLP в групповые политики домена Active Directory позволяет автоматически устанавливать DeviceLock на новые компьютеры, подключаемые к корпоративной сети, и осуществлять настройку DLP-политик в автоматическом режиме. Благодаря привычному и интуитивно понятному для сетевых администраторов интерфейсу управление DeviceLock является крайне простым и не требует написания дополнительных скриптов, изменения схемы домена или шаблонов ADO. В дополнении к базовой консоли – оснастке MMC для групповых политик – предусмотрены также Web-консоль и дополнительная консоль с собственным интерфейсом – DeviceLock Enterprise Manager, которая позволяет централизованно управлять любыми компьютерами, выбирая их напрямую из служб каталогов LDAP.
Комплекс DeviceLock DLP состоит из взаимодополняющих функциональных компонентов: DeviceLock Base, NetworkLock, ContentLock и DeviceLock Search Server, лицензируемых в любых комбинациях на основе базисного компонента DeviceLock Base, а также DeviceLock Discovery, который может использоваться в составе комплекса или как самостоятельное решение. Лицензионная политика "Смарт Лайн Инк" предусматривает гибкое функционально-инкрементальное лицензирование комплекса DeviceLock DLP – лицензии приобретаются на отдельные компоненты по числу контролируемых компьютеров. В стоимость лицензий входят годичная стандартная техническая поддержка и право на получение новых версий. По отдельному соглашению также предоставляются профессиональные услуги по реализации проекта, консультационные услуги и расширенная техническая поддержка.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2017