Утечки данных

Утечки данных

Высокое проникновение информационных систем во все сферы бизнеса, промышленности и государства порождает и соответствующие угрозы. Угроза нарушения конфиденциальности информации – одна из самых опасных. Нарушение конфиденциальности равно утечка данных.

НАПИСАНО МНОГО

Проблематика утечек и борьбы с ними описаны довольно обширно и подробно. Новости про громкие утечки появляются ежемесячно, их освещают как издания и информационные порталы по информационной безопасности, так и бизнес-ресурсы. Вендоры решений по информационной безопасности публикуют периодические отчеты, в которых приводится неутешительная статистика и постоянно растущие цифры числа утечек и понесенного в результате этих утечек ущерба, и статьи с подробным описанием того или иного инцидента. 

Изучая информационное поле вокруг инцидентов, связанных с утечками данных, становится очевидно, что проблемы есть во всех вертикалях и от размера компании не зависят – во всех организациях и компаниях есть информация, которую требуется защищать, и люди, мотивированные этой информацией завладеть. Даже если таких людей нет, то случайные утечки не менее частый инцидент, чем преднамеренные.

Про борьбу с утечками также написано много и подробно. Но технологии не стоят на месте и на проблемы, которые ранее считались не решаемыми, находятся ответы. О некоторых из таких ответов пойдет речь дальше.

DLP

Для снижения рисков утечек данных обычно применяются специализированные системы защиты от утечек данных (Data Loss Prevention – DLP).

Для того, чтобы утечки информации контролировать, просто установить DLP-систему недостаточно, ее нужно очень тщательно настроить. Определить разрешенные и запрещенные способы передачи и вывода информации в политиках. Самое сложное в этом процессе –  каким-то образом описать информацию, перемещение которой нужно контролировать.

В DLP-системах для идентификации информации используются различные методы: ключевые слова, регулярные выражения, цифровые отпечатки, детектирование форм и печатей и т.д, которые являются автоматическим инструментов принятия решения на основании заложенных правил. Но, как и во всех системах, которые необходимо настраивать на детектирование, для DLP-систем применимы понятия ошибок первого и второго рода.

ОШИБКИ

Ошибки первого рода – ложноположительные срабатывания, ошибки второго – ложноотрицательные. Соответственно, добиться ситуации, когда все события в DLP-системе являются утечками можно, но в таком случае есть большая вероятность, что многие из утечек пропущены. И наоборот, когда персонал, работающий с DLP-системой, хочет, чтобы максимальное число утечек детектировалось, большая вероятность того, что в системе будет много событий, утечками не являющихся.

Для снижения ложных срабатываний нужен механизм, позволяющий однозначно сказать, является ли информация в передаваемом файле контролируемой.

АКТУАЛЬНЫЕ ПОЛИТИКИ

Так как специалисты, настраивающие систему, не являются владельцами или создателями информации внутри компании, то и политики, описывающие эту информацию, формируются периодически, и, как показывает практика, достаточно редко. А новая информация создается практически каждый день. При этом получаем защиту только формально: система в эксплуатацию введена, но актуальных политик нет.

Для того, чтобы такую ситуацию исправить, необходимо вовлекать владельцев и создателей информации в непрерывный процесс ее классификации, который должен происходить в реальном времени. Причем эта классификация должна выполняться таким образом, чтобы ее можно было применить в политиках DLP-системы. Помимо этого, классификация должна быть обязательной, и создательвладелец должен сам принимать решение к какому типу информации нужно относить сведения, содержащиеся в файле, в соответствии с принятым в организации перечнем защищаемой информации.

Для этого необходимо внедрять средства автоматизации классификации создаваемых и обрабатываемых электронных документов, которые позволяют классифицировать документы при их сохранении или выводе на печать. Такие инструменты позволяют пользователю выбрать метку конфиденциальности из списка доступных и проставить ее в документ как правило в двух видах: визуальная метка и скрытая.

МАШИННОЕ ОБУЧЕНИЕ

Использование современных методов машинного обучения может позволить проанализировать информацию в уже проклассифицированных документах и подсказать пользователю, как проклассифицировать новый документ. Но окончательное решение и в этом случае должно оставаться за пользователем.

При этом инструменты классификации документов и контроля перемещения документа по метке конфиденциальности позволяют проследить весь жизненный цикл документа от его создания до уничтожения, включая его перемещение внутри организации и выход за пределы контролируемой зоны при интеграции с DLP-системой.

Инструменты аудита систем классификации электронных документов позволяют воссоздать и систематизировать всю историю создания документа вне зависимости от существующих в компании систем документооборота: восстановить цепочку создания версий, копий, черновиков документа с чистого листа и до его финальной версии, в том числе все отправки на печать, по каждому документу определить его местонахождение, а также кто, где и когда с ним работал, оперативно выявить попытки и факты нарушения установленного режима защиты информации и политик информационной безопасности в рамках конфиденциального электронного документооборота, по каждому пользователю найти документы, к которым у него есть доступ, узнать где, когда и с какими из них он работал.

УДОБНЫЕ ИНСТРУМЕНТЫ

Инструменты классификации могут быть дополнены аналитикой, которая позволит выявить кто в компании создаёт наиболее ценную информацию, кто ее обрабатывает, как она перемещается. Эти данные могут стать частью Security Intelligence (SI) или User Behavior Analytics (UBA).

Удобным инструментом в системах классификации является визуализация жизненного цикла документа в виде графического дерева.

Наличие скрытой метки в документе так же помогает при расследовании инцидентов утечек данных, давая возможность определить принадлежность к компании документов, найденных за пределами организации.

Так как вся аналитика и возможность гранулированной настройки DLP-системы базируется на метке, проставленной в файл, то должное внимание должно отводиться и защите самой метки от подмены или удаления.

IRM

Принимая во внимание тот факт, что ни одна из DLP-систем не является сто процентным гарантом защиты от утечек, система классификации документов может стать базой для внедрения систем класса Information Rights Management (IRM). Документы, проклассифицированные определенным образом, должны быть упакованы в криптоконтейнер с разграничением прав доступа. Документы, защищенные при помощи IRM-систем, невозможно открыть, не имея доступа к серверу, ключей расшифрования и соответствующих прав доступа, наложенных на документ.

Таким образом система классификации электронных документов позволит не переплачивать за защиту информации, не имеющей ценность, а сфокусироваться на защите действительно критичной информации, послужит фундаментом для построения и гранулированной настройки систем контроля утечек данных и обеспечения конфиденциальности информации.