Техподдержка 24/7 Пн-пт 9:30 – 18:30 +7 495 721 1218
31.08.2023

Как не допустить утечку данных в компании? DLP в помощь

В III квартале 2022 года эксперты отметили рост кибератак на треть относительно 2021 года. Показательным выглядит рост количества утечек в финансовой отрасли: в отечественных компаниях их число возросло в 1,7 раза, а во всем мире – в 3,7 раза. В большинстве случаев (70%) их причины – действия сотрудников, что вполне характерно как для российских, так и для зарубежных предприятий. По данным группы компаний InfoWatch, таким образом из международной финансовой сферы утекло более 625 миллионов, из российской – 44 миллиона записей.

Технология DLP – Data Loss Prevention – один из современных инструментов, направленных на защиту IT-ландшафта от утечки конфиденциальной информации. Архитектура DLP-систем основана на анализе потоковых данных, которые пересекают периметр защищаемой инфосистемы. При обнаружении в потоке конфиденциальных сведений происходит их блокировка.

Что такое DLP-система и как она работает?

Сегодня отечественный рынок систем защиты от утечек конфиденциальной информации активно развивается. Сами DLP-системы – программные продукты, призванные обеспечивать надежную защиту путем создания виртуальной границы вокруг компании. Это происходит за счет анализа входящих и исходящих сведений – и не только интернет-трафика, но и любых информационных потоков. К последним относится документация, которую распечатывают на принтерах, отправляют на смартфоны, планшеты или ноутбуки посредством Bluetooth или выносят за пределы компании на USB-накопителях или внешних жестких дисках.

Вместе с такими актами, как регламенты, политика руководства компании, а также организация отчетности и обучения сотрудников, DLP способны обеспечить комплексную защиту. Их основные свойства заключаются в следующем:

  • мониторинг почти всех технических каналов, через которые могут происходить утечки данных;
  • распознание информации через ключевые слова, виды файлов, цифровые отпечатки, прочее;
  • наличие единого интерфейса для управления с функцией разграничения доступа;
  • наличие средств формирования отчетности по любым внештатным ситуациям;
  • функция поиска сведений в хранилищах, базах данных и системах оборота документации;
  • моментальное реагирование на внештатные ситуации и функции блокировки, переноса в карантин, уведомления сотрудников службы информационной безопасности.

На сегодняшний день российский рынок DLP находится на стадии динамичного развития. Отечественные разработчики предлагают современные решения, которые позволяют определять степени конфиденциальности данных, обнаруженных на границе выхода за рамки системы. В процессе происходит анализ маркеров или содержимого документа. Второе решение более распространено, поскольку не «боится» изменений, вносимых в документ перед отправлением. Оно дает возможность расширять объем конфиденциальной документации, с которой работает система.

Какую информацию нужно защищать?

Прежде всего, системы защиты конфиденциальной информации призваны исключать ее утечки из внутренней инфосети во внешний мир. Они контролируют трафик данных в пределах рабочих станций сотрудников и, обнаружив сведения категории «Конфиденциально», блокируют их. Таким образом, сотрудник не может совершать с ними каких-либо действий: отправлять по почте, копировать на смартфон.

Подготовительный этап работы системы – определение информации, которая является критичной для организации. Для этого DLP разделяет ее на категории, используя один из следующих подходов:

  • Классический. Определение происходит посредством просмотра содержимого и выделения ключевых слов или регулярных фраз. Их наличие – повод для маркировки файла как секретного и его блокирования в сети. Такой подход эффективен для информации, которую можно прочесть.
  • Современный. Определение происходит по характеру данных и не требует открытия файла. Для этого система использует такие сведения, как время создания и владелец файла, его объем, источник выгрузки (база данных, учетная система, доступная сотруднику посредством web-интерфейса).

На предприятиях, где задействованы решения DLP, персонал максимально вовлекается в правильную организацию документооборота. Он маркирует файлы как «Секретные», «Служебные», «Публичные», «Совершенно секретные». Далее их обрабатывает бот системы, используя классический или современный подход. Точность системы в данном случае существенно повышается, поскольку лишь владелец информации может знать, насколько те или иные данные актуальны на тот или иной момент.
Какие данные принято считать критически важными и обеспечивать им особую защиту?

  • резюме руководителей, топ-менеджмента, а также личные дела сотрудников – отдел кадров;
  • выгрузки из систем учета CRM (автоматизации контроля продаж) и ERP (управления бизнес-процессами) – бухгалтерский отдел;
  • исходный код, разработки инженеров и конструкторов – отдел разработки программного обеспечения.

Сюда же можно отнести регуляторную документацию, указания головного офиса, общий регламент по защите информации. Все они предназначены для служебного использования, поэтому и количество сотрудников с доступом к ней будет ограничен системой. Таким образом, сотрудники, для которых эти данные не предназначены, не смогут разгласить сведения.

Как DLP предотвращает разные случаи утечки?

Профилактика утечки данных происходит разными способами. Поскольку персонал имеет доступ в Интернет, он может выгружать информацию на публичную электронную почту. DLP распознает выгрузки на Gmail и фильтрует сведения, учитывая получателя и отправителя, а также объем и степень критичности. Такой подход позволяет защитить данные предприятия, не препятствуя обмену электронными письмами.

Серьезной проблемой информационной безопасности любой организации являются учетные записи персонала в приложениях вроде Viber, Telegram или корпоративных мессенджерах Google G-Suit или Teams. DLP решает и эту задачу, исключая утечки важных данных без блокирования деловой переписки. В случае с личными мессенджерами имеется возможность ограничения выгрузки не только web-версии, но и приложения на персональном компьютере сотрудника.

Предотвращение утечек конфиденциальной информации возможно и при попытках загрузить ее на iPhone путем синхронизации с ПК, равно как и при использовании USB. В том случае, если жестко блокировать системную шину, передающую данные на флэшку, нет нужды, используют шифрование съемных носителей. Для этого используют алгоритм AES256. Таким образом, информация, которая выходит за пределы внутренней сети через компьютерный порт, будет зашифрованной, а расшифровать ее можно будет только на корпоративном ПК.

Одним из распространенных сценариев обмана системы DLP является архив с паролем. Однако существуют решения, которые позволяют справиться и с ним. Это может быть низкоуровневое ПО, способное распознавать пароль и копию файла для админа системы. Его реализуют за счет фиксации всех действий пользователя, в том числе и нажатий клавиш, а также скриншотов экрана.

К примеру, сотрудник выгружает файлы в почту нажимая определенные сочетания клавиш («копировать-вставить»). Система защиты отслеживает операции, производимые между приложениями, и мониторит буфер обмена. В том случае, если выгрузка касалась секретной информации, DLP промаркирует файл, созданный после выгрузки, невидимым маркером, который будет его отслеживать.

Защита IT-инфраструктуры

Отечественные решения для комплексной защиты ИТ-инфраструктуры любой сложности

Узнать подробнее
Защита IT-инфраструктуры

Этапы реализации системы предотвращения утечки информации

Формирование системы DLP – комплексная задача, в которой принимают участие специалисты по технической части, аудиторы, представители всех бизнес-сегментов предприятия. Этапы ее выполнения можно разделить на организационные и технические. Первые включают в себя следующее:

  1. проверка состояния инфосистемы компании и ее инфопотоков, а также возможных каналов утечки;
  2. процедура определения и разбивки на категории информационных активов;
  3. выделение самых критичных из них и определение их места и роли в бизнес-процессах предприятия;
  4. определение последствий их кражи и обнародования;
  5. формирование политики обработки инфоактивов, которые нуждаются в защите;
  6. формирование сценариев реагирования на внештатные ситуации;
  7. создание программы обучения персонала особенностям работы с системой и конфиденциальными данными.

Технические этапы могут заключаться в следующем:

  1. выбор основы для реализации решения;
  2. разработка проекта системы, руководств, регламентов и инструкций;
  3. реализация проекта и объединение DLP с ИТ-инфраструктурой предприятия;
  4. реализация предварительно разработанных правил и политик.

Важно понимать, что успешность интеграции DLP, равно как и эффективность использования, определяются целым рядом факторов:

  • слаженность работы команды, которая разрабатывает проект, и представителей компании-заказчика;
  • интеграция системы по этапам, начиная с пассивного режима с изучением внештатных ситуаций и заканчивая блокированием запрещенных действий;
  • опыт практической работы проектировщиков по интеграции DLP в инфраструктуру компании (корпоративную почту, доступ в Интернет, прочее);
  • опыт практического аудита инфосистемы компании, а также формирования сопроводительных и отчетных документов;
  • опыт правильного и эффективного обучения персонала компании, который будет использовать систему в своей работе.

Внедрение DLP не станет 100% гарантией защиты от всех нарушений конфиденциальности информации. В то же время она исключит почти все риски случайных утечек, к примеру – неумышленной отправки сотрудником конфиденциальных данных с сервера. В сочетании с другими методами защиты в виде шифрования данных, ограничения доступа, регулярных проверок и контроля событий информационной безопасности, система станет серьезным препятствием на пути к умышленной краже секретных сведений.

Современные DLP-системы

Современные системы DLP не только предотвращают утечки конфиденциальных сведений, но и выполняют другие, не менее важные задачи. Сегодня их используют для борьбы с мошенниками на предприятиях, включая и расследования экономических преступлений. Все это стало возможным благодаря их новым характеристикам.

Архивы

В отличие от более ранних поколений, которые фиксировали лишь инциденты и нарушения правил, современные системы хранят весь архив файлов, событий и внештатных ситуаций. Благодаря этому отдел безопасности может отслеживать уровень безопасности на предприятии в общем и в деталях по каждому отделу и даже сотруднику.

Анализ поведения пользователей

Такой функционал позволяет отличать обычное поведение сотрудников от подозрительного и предпринимать соответствующие меры. Несмотря на то, что на данном этапе его только развивают, уже сегодня он отлично дополняет системы, которые пребывают на этапе трансформации по комплексному контролю пользователей.

Удобное управление и администрирование

Они стали возможными за счет единого для всех элементов DLP web-интерфейса и позволяют формировать различные отчеты. Например, создавать и предоставлять досье персонала с контактами сотрудников и отчетами для топ-менеджмента, благодаря чему руководители высшего уровня иерархии могут расследовать инциденты в случае производственной необходимости. При этом управление осуществляется с одной консоли с едиными настройками.

Мониторинг эмоционального состояния

DLP может анализировать и оценивать лексику сотрудников при их общении в мессенджерах, социальных сетях или посредством писем. Для этого система использует специальный словарь, в который включены определенные слова, используемые человеком, испытывающим разные эмоции. Таким образом можно определить сотрудников из группы риска и проконтролировать их действия.

Расширенный контроль за действиями персонала

Мониторинг действий сотрудников включает в себя простые методы, которые тем не менее могут помочь при расследовании серьезных внештатных ситуаций. К таким инструментам относятся отслеживание нажатий клавиш, снимки с web-камеры, анализ действий и прочее.

Детектор камеры

Это функция, которая исключает фотографирование экрана персонального компьютера. Она не только способна выявить устройство, но и уведомляет об этом службу безопасности. Помимо этого, система сохраняет сведения о внештатной ситуации. Особенно эта функция актуальна для финансовых учреждений и предприятий, которые работают с большими объемами данных.

Единая платформа защиты от утечек

Основные технологии системы доведены до совершенства, поэтому разработчики направили свое внимание на удобство использования и доступность комплексных расследований внештатных ситуаций. Это обусловлено не только потребностями клиентов, но и возникновением новых инсайдерских угроз. К последним можно отнести фотографирование экрана на смартфон или мошеннические схемы. Одним из ключевых векторов развития DLP является предотвращение мошенничества, что будет достигнуто за счет развития единой платформы.


Была ли полезна статья?
Расскажите друзьям:
Evolution