BIS Journal №3(30)/2018

30 июля, 2018

Утечки данных

Высокое проникновение информационных систем во все сферы бизнеса, промышленности и государства порождает и соответствующие угрозы. Угроза нарушения конфиденциальности информации – одна из самых опасных. Нарушение конфиденциальности равно утечка данных.

НАПИСАНО МНОГО

Проблематика утечек и борьбы с ними описаны довольно обширно и подробно. Новости про громкие утечки появляются ежемесячно, их освещают как издания и информационные порталы по информационной безопасности, так и бизнес-ресурсы. Вендоры решений по информационной безопасности публикуют периодические отчеты, в которых приводится неутешительная статистика и постоянно растущие цифры числа утечек и понесенного в результате этих утечек ущерба, и статьи с подробным описанием того или иного инцидента. 

Изучая информационное поле вокруг инцидентов, связанных с утечками данных, становится очевидно, что проблемы есть во всех вертикалях и от размера компании не зависят – во всех организациях и компаниях есть информация, которую требуется защищать, и люди, мотивированные этой информацией завладеть. Даже если таких людей нет, то случайные утечки не менее частый инцидент, чем преднамеренные.

Про борьбу с утечками также написано много и подробно. Но технологии не стоят на месте и на проблемы, которые ранее считались не решаемыми, находятся ответы. О некоторых из таких ответов пойдет речь дальше.

DLP

Для снижения рисков утечек данных обычно применяются специализированные системы защиты от утечек данных (Data Loss Prevention – DLP).

Для того, чтобы утечки информации контролировать, просто установить DLP-систему недостаточно, ее нужно очень тщательно настроить. Определить разрешенные и запрещенные способы передачи и вывода информации в политиках. Самое сложное в этом процессе –  каким-то образом описать информацию, перемещение которой нужно контролировать.

В DLP-системах для идентификации информации используются различные методы: ключевые слова, регулярные выражения, цифровые отпечатки, детектирование форм и печатей и т.д, которые являются автоматическим инструментов принятия решения на основании заложенных правил. Но, как и во всех системах, которые необходимо настраивать на детектирование, для DLP-систем применимы понятия ошибок первого и второго рода.

ОШИБКИ

Ошибки первого рода – ложноположительные срабатывания, ошибки второго – ложноотрицательные. Соответственно, добиться ситуации, когда все события в DLP-системе являются утечками можно, но в таком случае есть большая вероятность, что многие из утечек пропущены. И наоборот, когда персонал, работающий с DLP-системой, хочет, чтобы максимальное число утечек детектировалось, большая вероятность того, что в системе будет много событий, утечками не являющихся.

Для снижения ложных срабатываний нужен механизм, позволяющий однозначно сказать, является ли информация в передаваемом файле контролируемой.

АКТУАЛЬНЫЕ ПОЛИТИКИ

Так как специалисты, настраивающие систему, не являются владельцами или создателями информации внутри компании, то и политики, описывающие эту информацию, формируются периодически, и, как показывает практика, достаточно редко. А новая информация создается практически каждый день. При этом получаем защиту только формально: система в эксплуатацию введена, но актуальных политик нет.

Для того, чтобы такую ситуацию исправить, необходимо вовлекать владельцев и создателей информации в непрерывный процесс ее классификации, который должен происходить в реальном времени. Причем эта классификация должна выполняться таким образом, чтобы ее можно было применить в политиках DLP-системы. Помимо этого, классификация должна быть обязательной, и создательвладелец должен сам принимать решение к какому типу информации нужно относить сведения, содержащиеся в файле, в соответствии с принятым в организации перечнем защищаемой информации.

Для этого необходимо внедрять средства автоматизации классификации создаваемых и обрабатываемых электронных документов, которые позволяют классифицировать документы при их сохранении или выводе на печать. Такие инструменты позволяют пользователю выбрать метку конфиденциальности из списка доступных и проставить ее в документ как правило в двух видах: визуальная метка и скрытая.

МАШИННОЕ ОБУЧЕНИЕ

Использование современных методов машинного обучения может позволить проанализировать информацию в уже проклассифицированных документах и подсказать пользователю, как проклассифицировать новый документ. Но окончательное решение и в этом случае должно оставаться за пользователем.

При этом инструменты классификации документов и контроля перемещения документа по метке конфиденциальности позволяют проследить весь жизненный цикл документа от его создания до уничтожения, включая его перемещение внутри организации и выход за пределы контролируемой зоны при интеграции с DLP-системой.

Инструменты аудита систем классификации электронных документов позволяют воссоздать и систематизировать всю историю создания документа вне зависимости от существующих в компании систем документооборота: восстановить цепочку создания версий, копий, черновиков документа с чистого листа и до его финальной версии, в том числе все отправки на печать, по каждому документу определить его местонахождение, а также кто, где и когда с ним работал, оперативно выявить попытки и факты нарушения установленного режима защиты информации и политик информационной безопасности в рамках конфиденциального электронного документооборота, по каждому пользователю найти документы, к которым у него есть доступ, узнать где, когда и с какими из них он работал.

УДОБНЫЕ ИНСТРУМЕНТЫ

Инструменты классификации могут быть дополнены аналитикой, которая позволит выявить кто в компании создаёт наиболее ценную информацию, кто ее обрабатывает, как она перемещается. Эти данные могут стать частью Security Intelligence (SI) или User Behavior Analytics (UBA).

Удобным инструментом в системах классификации является визуализация жизненного цикла документа в виде графического дерева.

Наличие скрытой метки в документе так же помогает при расследовании инцидентов утечек данных, давая возможность определить принадлежность к компании документов, найденных за пределами организации.

Так как вся аналитика и возможность гранулированной настройки DLP-системы базируется на метке, проставленной в файл, то должное внимание должно отводиться и защите самой метки от подмены или удаления.

IRM

Принимая во внимание тот факт, что ни одна из DLP-систем не является сто процентным гарантом защиты от утечек, система классификации документов может стать базой для внедрения систем класса Information Rights Management (IRM). Документы, проклассифицированные определенным образом, должны быть упакованы в криптоконтейнер с разграничением прав доступа. Документы, защищенные при помощи IRM-систем, невозможно открыть, не имея доступа к серверу, ключей расшифрования и соответствующих прав доступа, наложенных на документ.

Таким образом система классификации электронных документов позволит не переплачивать за защиту информации, не имеющей ценность, а сфокусироваться на защите действительно критичной информации, послужит фундаментом для построения и гранулированной настройки систем контроля утечек данных и обеспечения конфиденциальности информации.

 

 

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

22.02.2024
Самолётом, поездом, машиной. Базу ПДн туристов расширят
22.02.2024
Утверждён новый стандарт протокола защищённого обмена для индустриальных систем
22.02.2024
Системы электронного правительства проверяют на прочность
22.02.2024
Число стилеров в российских банках стремительно растёт
22.02.2024
Эксперты Forbes: ИБ-сектор за год прибавил 8,4%
21.02.2024
«Не являлся значимым кредитором реального сектора экономики». ЦБ РФ лишил QIWI Банк лицензии
21.02.2024
Характер занятости обсуждается при собеседовании. Как становятся дропперами
21.02.2024
Российские компании недовольны «агрессивной кадровой политикой ряда азиатских вендоров»
21.02.2024
Весенние обновления в Signal — реальная ИБ или «косметика»
21.02.2024
NCA: Каждый пятый молодой британец — потенциальный хакер

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных