Что делать, если DLP-системы не спасают от утечек?
Утечки информации — живая боль почти для всех руководителей и собственников бизнеса, и эта боль усиливается. Согласно результатам недавнего исследования, количество утечек конфиденциальной информации выросло в России за последний год на 80%. Для сравнения, мировой рост составил около 300%, а объём скомпрометированных данных увеличился более чем стократно.
Чаще всего инциденты происходят в государственных структурах (21,6%), ИТ-компаниях (14,65%), образовательных учреждениях (13,6%) и банках (11,75%). Примерно две трети из них связаны с действиями сотрудников, при этом в личных целях украденную информацию использует четверть всех злоумышленников, в то время как в мире этот показатель составляет 17,3%. Основным каналом утечек в 2016 году по-прежнему оставались браузеры, на их долю пришлось 64% случаев, второе место (26% случаев, по данным других исследователей — около 20%) занимает бумажная документация.
Все надежды — на безопасность электронных документов
Компании тратят существенные средства на защиту периметра и внедрение систем класса DLP, но они не спасают от внутреннего вредителя с доступом к офисной оргтехнике. В некоторой степени угрозу снижает анализ поведения пользователей с помощью систем UBA (User Behavioral Analytics). Но если сотрудник имеет возможность распечатать конфиденциальные документы, решение UBA также не определит потенциальную угрозу безопасности.
Организационные меры тоже не отличаются высокой эффективностью, поскольку устроить тотальный обыск сотрудников (а тем более проверку личных гаджетов) на выходе из офиса невозможно. Но и такая проверка никого бы не спасла: злоумышленник может сфотографировать документ или экран компьютера на смартфон, не оставляя никаких следов в системе. Бывают и случайные утечки, когда конфиденциальные документы забывают в общедоступных местах или выбрасывают вместе с мусором. Некоторые организации пользуются услугами аутсорсинговых компаний, и это тоже не лучшим образом сказывается на сохранности внутренней документации. Многие не воспринимают проблему всерьёз — и совершенно напрасно.
Технические средства контроля распространения бумажных документов нужны не только публичным компаниям или организациям с большим документооборотом и значительными объемами ценных данных. Исследователи утверждают, что каждая десятая утечка конфиденциальной информации в России приходится на малый бизнес. Такую ситуацию специалисты связывают с недофинансированием, небрежным обращением со сведениями ограниченного доступа и недостаточным контролем персонала в небольших компаниях.
Когда DLP и UBA не работают
Утечки с бумажных носителей случаются реже, чем через браузеры, но все же чаще сливов с электронной почты, и от инцидентов не застрахованы даже спецслужбы с их многоуровневыми системами безопасности. Достаточно вспомнить нашумевшую публикацию интернет-издания The Intercept, когда журналисты выложили в сеть подборку конфиденциальных данных АНБ.
Издание не раскрывало личность информатора, но менее чем через сутки Минюст США предъявил обвинение Реалити Ли Виннер, сотруднице одной из обслуживающих АНБ сторонних компаний. Получив отсканированные документы, авторы статьи отправили часть из них агентству для подтверждения подлинности, благодаря чему удалось быстро определить использованное устройство. Цветные лазерные принтеры крупных производителей применяют так называемую стеганографию («тайнопись») и метят отпечатки незаметными глазу цветными точками. Помимо этого, Виннер вела переписку с рабочего компьютера, и найти её оказалось, что называется, делом техники.
Принтеры — не решение
Увы, далеко не все принтеры оставляют на отпечатках стеганографические знаки, к тому же их несложно удалить в графическом редакторе, отсканировав документ. Даже если удастся найти устройство, это решит только половину проблемы. Гораздо сложнее сузить круг подозреваемых и определить воспользовавшегося им сотрудника. Здесь на помощь приходят специализированные решения, в основе работы которых лежат алгоритмы автоматического преобразования каждой копии документа в персонализированный файл. Для этого программы могут изменять межбуквенные и межстрочные интервалы или другие свойства документа, не привязанные к аппаратным возможностям офисной техники.
Мелкие нюансы незаметны глазу человека (визуально копия не отличается от оригинала), но легко считываются системой, даже если документ был испорчен, помят или испачкался в процессе передачи. Программное обеспечение может работать с фрагментом, фотографией, ксерокопией или скриншотом документа — таким образом допустивший утечку пользователь определяется вне зависимости от способа копирования конфиденциальных данных. Обычно информационная система фиксирует алгоритм преобразований, дату и время создания копии (в том числе электронной), а также идентификационные данные сотрудника, который с ней работает.
Модуль защиты интегрируется с системой электронного документооборота и работает незаметно для пользователей — им не придётся менять привычные схемы или проходить дополнительную аутентификацию. Сотрудники могут даже не знать, что в корпоративной сети установлена новая система защиты, но каждая копия конфиденциального документа будет закреплена за конкретным человеком. Это упрощает расследование утечек и выявление внутренних злоумышленников, снабжающих информацией журналистов или конкурентов.
Предупредить или умолчать?
Есть два принципиально разных подхода к внедрению подобных систем. Если уже понятно, что в компании завелся «крот», можно внедрить решение в секрете от всех и инициировать утечку самим. Для этого нужно запустить в систему фальшивый документ с потенциально высокой важностью, и затем «ловить» его в СМИ или у конкурентов. Автор распечатки найдется сразу и без ошибки.
Но есть и другой путь — громогласно заявить о системе и предупредить весь коллектив. Сотрудникам придется сразу подумать, что для них важнее — получить «добавку к зарплате» за слив конфиденциальной информации или сохранить место и заработок. Утекший документ почти всегда начинает распространяться дальше: даже если сотрудник передал его не в СМИ, а конкурентам, он быстро начинает «гулять» из рук в руки и возвращается в компанию. Все это понимают, и никому не хочется выходить на открытый рынок с «волчьим билетом», поэтому утечки чаще всего прекращаются.