28 февраля, 2019, BIS Journal №1(32)/2019

Утечки данных


Бондаренко Леонид

Директор департамента поддержки продаж (ООО "Сикрет Технолоджис")

Фокус на бумажные документы

ОТЧЕТ ПОДТВЕРЖДАЕТ

Аналитический центр компании InfoWatch ежегодно представляет отчет об исследовании инцидентов, связанных с компрометацией информации ограниченного доступа, зафиксированных в российских коммерческих и некоммерческих компаниях, государственных органах и организациях – «Утечки данных. Россия. 2017 год» (https://www.infowatch.ru/report_ru2017).

Данный отчет подтверждает, что инциденты утечек информации происходят в любых компаниях вне зависимости от отрасли: банки и финансы, медицина, торговля, HoReCa, высокие технологии, промышленность и транспорт, госорганы, силовые структуры, образование, муниципальные учреждения.

Также в этом отчете приведена статистика распределения утечек по каналам. Она говорит, что значительную часть (36%) утечек составляют утечки бумажных документов:

«В то же время резко выросла доля утечек бумажных документов — с 25,7% до 36%.
На наш взгляд, повышение роли этого канала, прежде всего, говорит о вопиюще
слабом контроле документооборота в компаниях. Типичная «бумажная» утечка в
России — выброс на свалку архива документов с персональными данными.
Практически ежедневно появляются сообщения о подобном «мусоре».

Данных за 2018 год еще нет, но как видно из выдержки отчета, процент утечек информации на бумажных носителях увеличивается.

КЛАССИЧЕСКИЙ ПОДХОД

Классический и устоявшийся на сегодняшний день подход детектирования и расследования инцидентов утечек информации – внедрение систем контроля утечек информации (Data Loss Prevention, DLP). Но DLP-системы «заточены» на детектирование и предотвращение утечек информации в цифровом виде и имеют для того богатый арсенал, а вот для бумажных документов нужны другие методы и подходы.

Первое, что необходимо сделать – это обеспечить механизм распечатывания документов сотруднику «в руки», а не когда он сидит за своим рабочим местом, а до принтерной комнаты еще нужно дойти, и в это время распечатанные документы остаются неконтролируемыми.

Чтобы документы распечатались в момент непосредственного нахождения пользователя возле устройства, применяются специализированные системы контроля печати (Secure Managed Printing) с функционалом Pull Printring. При этом происходит задержка печати до того момента, пока пользователь на подойдет к устройству печати и не предъявит аутентификационные данные в виде персональной смарт-карты, пин-кода, пароля, карты на мобильном телефоне с NFC-чипом. События печати легируются в журнале.

ДОБАВЛЕНИЕ МЕТАДАННЫХ

Но даже в этом случае не достигается необходимого уровня контроля бумажных документов, ведь специфика бумажного документа в отличии от электронного в том, что у бумажного документа нет метаданных, по которым можно отследить кем конкретно этот документ создавался (распечатывался) и кто допустил/совершил утечку бумажного документа.

Соответственно, чтобы обеспечить механизмы контроля бумажных документов и расследования инцидентов,  в бумажный документ нужно добавлять  метаданные, которые позволят определить кто, когда и где печатал конкретный экземпляр.

Самый очевидный способ – маркирование. Нанесение в определенную область документа данных. Эти данные могут быть нанесены в явном виде, чтобы все могли их прочитать, или в зашифрованном, чтобы содержание грифа было доступно только, например, службе безопасности. Они могут выглядеть как текстовая строка, штрих-код или QR-код.

Но у этого метода есть недостаток – от такой метки можно избавиться: отрезать ее, закрасить, или, если документ несанкционированно фотографируется, просто оставить за рамками фотографии.

УНИКАЛИЗАЦИЯ ДОКУМЕНТА

Соответственно нужно маркировать документ скрыто, делать каждый конкретный экземпляр бумажного документа уникальным так, чтобы это не было заметно человеку, но распознавалось при разборе инцидента. И уникализацию документа нужно производить равномерно, чтобы нельзя было избавиться от уникальной части или можно было определить конкретный экземпляр по части документа или страницы. Для этого нужно вносить уникальные для каждого экземпляра выводимого документа изменения в расположение элементов текста, и такие изменения не должны изменять или нарушь структуру документа.

При этом качество уникализации и распознавания уникального документа должно позволять расследовать инциденты не только по оригиналу, но и по сканам, копиям или фотографиям, которые могут быть сделаны с более низким качеством, неровно, частично, с помехами, быть грязными или мятыми и так далее.

К алгоритмам уникализации также должны предъявляться строгие требования, так как в организациях с большим объемом бумажного документооборота количество экземпляров одного и того же документа может быть очень велико, и алгоритмы должны предоставлять возможность создавать большое количество уникальных копий одного документа. И эти уникальные копии должны отличаться, чтобы можно было с большой долей вероятности определить принадлежность этой уникальной копии конкретному человеку.

Также не стоит забывать и о стоимости применения защитных мер. Ведь если хранить в системе каждую уникальную копию каждого документа, то стоимость дисковых массивов, которые понадобятся для хранения этих копий, в течение продолжительного периода времени, необходимого для расследования инцидента, будет достаточно дорогим. Значит в системе уникализации должны храниться не сами копии, а алгоритмы создания конкретной копии с привязкой копии к времени ее создания и конкретному человеку, который эту копию получает.

Все что описано выше в части уникализации печатной копии документов может быть применимо и для электронного документа, который, например, выводится в системе электронного документооборота (СЭД), когда злоумышленник может сделать скриншот экрана или экран сфотографировать.

КОНКРЕТНЫЕ РЕШЕНИЯ

Компания ООО «Сикрет технолоджис» ведет разработку собственных решений, выполняющих функции как контроля печати, так и уникализации документов с учетом вышеописанной специфики, требований и задач по повышению уровня информационной безопасности.

Так в части уникализации разработано решение, базирующееся на алгоритме, который разделяет текст, содержащийся в документе на блоки, внутри которых производятся горизонтальные и вертикальные сдвиги элементов текста, позволяющие сделать уникальный цифровой отпечаток для конкретной копии документа. Результаты уникализации с применением нашего решения визуально не заметны или минимально заметны при просмотре документа без использования инструментов анализа изображений.

ТРИ ЭТАПА

Весь процесс контроля утечек с применением алгоритмов уникализации можно разделить на 3 этапа:

загрузка оригинала документа в систему;
непосредственно уникализация документа;
расследование инцидента (по бумажному документу, скану, фотографии, части документа или страницы).

Загрузка оригинала документа в систему может производиться автоматически при печати, выводе документа в СЭД или вручную. После загрузки документ обрабатывается и для него просчитывается пул формул уникализации.

На втором шаге к выводимому документу применяются формулы уникализации, результат применения формулы записывается в систему вместе с метками времени и информации о пользователе, которому была выдана уникальная копия документа, и непосредственно выдача этой копии на печать или в СЭД.

Расследовать инцидент можно имея бумажную или электронную уникальную копию, фотографию или скан этой копии. Скан или фотография загружается в систему, далее при помощи специальных техник компьютерного зрения производится восстановление нормального состояния документа (как описано ранее исходник может быть ненадлежащего качества), производится поиск оригинала документа и предоставление списка подходящих формул уникализации с выводом процента совпадения и информации о времени вывода и пользователе, которому была выдана уникальная копия документа. Это позволяет определить кто допустил утечку (ведь случайные утечки не менее опасны и могут нанести не меньший ущерб, чем преднамеренные) или является злоумышленником.

Применение систем уникализации документов и контроля печати позволит снизить вероятность и ущерб от утечек информации по каналам, которые традиционные и широко известные средства закрыть не могут.

Решения данного класса пока не заняли должного места в системах корпоративной безопасности, но игнорировать существенные каналы утечки информации нельзя. Ведь только комплекс мер позволит обеспечить должный уровень информационной безопасности, и для практически каждой угрозы есть актуальные варианты противодействия.

 

 

 

 

 

Смотрите также

Подпишись на новости!
Подписаться