Обзор EveryTag VDR 2022.1, средства безопасной работы и маркировки документов

1. Введение
2. Функциональные возможности EveryTag VDR
3. Архитектура и системные требования EveryTag VDR
4. Сценарии использования EveryTag VDR
5. Выводы

Введение

Цифровизация документооборота, широкое использование удалённого доступа, а также ускорение процессов передачи данных (в том числе конфиденциальных) между организациями, клиентами, подрядчиками, контрагентами и иными участниками информационного обмена подталкивают к выбору систем для предоставления контролируемого разграниченного доступа к передаваемым документам. Продукт компании EveryTag — один из возможных вариантов.

Рисунок 1. Статистика утечек информации в российских компаниях

Системы DLP (Data Leak Prevention) вполне эффективно защищают от утечек через съёмные носители информации, канал электронной почты, веб-ресурсы. Но что делать в том случае, если необходимо делиться данными со внешними участниками информационного обмена, при этом предоставляя доступ только определённому кругу лиц, и быть уверенным, что удастся обнаружить нарушителя при возникновении утечки информации? Это касается и внутренних сотрудников, которые имеют доступ к защищаемым данным.

• Фото- и видеосъёмку, сканирование документов сложно проконтролировать (разве что если установить над каждым рабочим местом видеокамеру), а в отношении дистанционных сотрудников или контрагентов это в принципе невозможно.
• Злоумышленник понимает, что его действия могут протоколировать, системный администратор способен вообще отключить защиту или стереть логи на своём рабочем месте при недостаточном контроле со стороны ИБ.
• Часто для обеспечения безопасности конфиденциальных документов используется маркирование водяными знаками, то есть нанесение на сам документ (цифровой или бумажный) видимых элементов защиты. В ряде случаев такие артефакты вполне по силам удалить даже рядовому пользователю, и к тому же водяные знаки не укажут на лицо допустившее утечку. Также видимые водяные знаки не всегда допустимы к размещению в стандартизированном конфиденциальном документообороте.

Для решения описанных проблем компания EveryTag разработала программный продукт EveryTag VDR (Virtual Data Room), который нацелен на хранение документов, обмен и предоставление доступа к ним посредством сгенерированных прямых ссылок. Также он выполняет маркировку загруженных в него документов для дальнейшего их использования в экспертизе при обнаружении утечки. 

EveryTag VDR не заменяет систему класса DLP, а дополняет её, решая две основные задачи из области защищённого документооборота: разграничение доступа и проведение экспертизы по определению источника утечки. Сам факт наличия такого продукта в компании может заставить нарушителя задуматься над последствиями несанкционированного использования документов.

Рисунок 2. Каналы утечек информации, с которыми справляются продукты компании EveryTag

Функциональные возможности EveryTag VDR

Уникальная копия документа, которая создаётся каждый раз при обращении к файлу или его передаче, визуально неотличима от оригинала. Она не содержит специальных символов, каких-либо меток или прочих артефактов, которые были бы визуально заметны и могли бы быть устранены злоумышленником.

Процедура работы с документом выглядит следующим образом:

1. Владелец или иной пользователь с необходимыми правами доступа загружает в рабочее пространство документы. Все внутренние сотрудники организации получают доступ к VDR используя свои доменные учётные данные, т. к. есть возможность импорта всех необходимых пользователей из службы каталогов Active Directory по протоколу LDAP. Регистрация и вход в систему для всех приглашённых внешних пользователей возможны через аккаунты Google и Microsoft либо с использованием адреса электронной почты. После загрузки документов происходит автоматическая маркировка каждого из них. Поддерживаются следующие форматы файлов: *.doc, *.docx, *.rtf, *.odp, *.jpg, *.png, *.pdf, *.tif, *.tiff, *.ppt, *.pptx.
2. Владелец виртуальной комнаты создаёт папки и рабочие пространства, приглашает пользователей и участников информационного обмена, после чего назначает им права доступа и разрешения на использование выложенных документов. Доступ к документам возможно предоставлять как на основе групп или учётных записей, так и по ссылке, в т. ч. посредством электронной почты. Каждому пользователю или документу можно назначить определённый тип доступа. Также есть возможность запретить печать документа из системы и установить срок жизни ссылки на документ. Ролевая модель включает в себя три вида прав доступа: «владелец» (все права), «участник» (настраиваемые права) и «гость» (только чтение).
3. При каждом новом открытии документа пользователь будет получать персональную маркированную копию без визуальных отличий от оригинала. Сами копии документов не создаются повторно и не размещаются в файловом хранилище. Взамен генерируются персонифицированные ключи преобразования, которые записываются в базу данных, при этом занимают мало места (несколько килобайт). В системе сохраняется вся информация о том, кто, когда и с какого устройства открыл документ. Алгоритм генерации и маркирования копий способен создавать до 205 триллионов уникальных экземпляров одного и того же документа формата А4, неотличимых друг от друга для человеческого глаза. При дальнейшей работе с документом — его отправке по электронной почте или предоставлении ссылки — в системе также сохраняется вся информация о создании промаркированных копий.
4. В случае фактического обнаружения утечки информации возможно провести экспертизу документа посредством встроенного модуля. Система сравнивает обнаруженный документ с оригиналом и предоставляет информацию о том, кто, когда, с какого устройства и каким способом получил доступ к документу: открыл его в самой системе, распечатал, отсканировал, получил по электронной почте или по прямой ссылке. EveryTag VDR способен определить принадлежность копии даже не имея документа целиком, в ряде случаев будет достаточно фрагмента невысокого качества. Подойдут снимок документа или его оригинал, фотография экрана или скриншот, искажённый образец (нечёткий, под углом, мятый, имеющий загрязнения).

Рисунок 3. Совместимость со сторонними продуктами

Компания реализует программные продукты в виде неисключительного права использования ПО EveryTag, включая электронные сертификаты на техническую поддержку. Также EveryTag организует бесплатные тренинги по проведению экспертизы. Поставка, настройка и пусконаладка продуктов, включая электронные сертификаты на техническую поддержку, осуществляются только через авторизованные компании. Тип распространения — только лицензионный, лицензии — срочные, по числу пользователей. Для оценки вычислительных ресурсов, необходимых для разворачивания продуктов, специалисты EveryTag готовят расчёт на основании данных, которые были получены при заполнении заказчиком опросного листа.

Архитектура и системные требования EveryTag VDR

Кросс-платформенный безагентский продукт EveryTag базируется на платформах Java Spring Boot и Quarkus и способен работать в различных операционных системах, в том числе и в гетерогенной среде. Система может быть развёрнута как на локальных серверах заказчика, так и в облаке. Микросервисная архитектура позволяет разворачивать продукты EveryTag в сжатые сроки. Благодаря этому все предлагаемые продукты от компании EveryTag на её базе остаются гибкими в настройке и максимально отказоустойчивыми (поддерживаются режимы высокой доступности). Системой хранения данных выступает документоориентированная (NoSQL) СУБД с открытым исходным кодом MongoDB с поддержкой вертикального и горизонтального масштабирования. Локальная или сетевая распределённая файловая система либо S3-совместимый сервис играют роль файлового хранилища. Данные могут шифроваться с использованием различных алгоритмов (в том числе в соответствии с ГОСТом).

Системные требования для каждого проекта рассчитываются индивидуально. Они напрямую связаны с объёмом документооборота, т. е. с количеством сотрудников, которые будут осуществлять загрузку и выгрузку, объёмом документов в страницах и мегабайтах. Заказчику высылается опросный лист, на основании которого рассчитываются серверные мощности.

Архитектура подразумевает использование как минимум трёх серверов, где основной из них — это программное ядро, которое фактически осуществляет маркировку. Второй сервер выполняет функции БД для хранения всех ключей преобразования маркируемых документов, а на третьем размещаются все системные компоненты, которые требуются для работы ПО в целом. При необходимости общее количество серверов может быть увеличено, например когда речь идёт об организации кластера высокой доступности (HA).

Рисунок 4. Перечень компонентов и архитектурная схема системы EveryTag VDR

Взаимодействие с пользователем осуществляется по протоколу HTTPS с шифрованием трафика по стандартам SSL / TLS с SSL-сертификатами любого типа. Веб-интерфейс доступен в браузерах Google Chrome, Opera, Edge, Safari и Firefox. В продуктах EveryTag поддерживается интеграция с любым типом корпоративного LDAP-каталога для аутентификации пользователей или служб. Кроме того, в них реализованы аутентификация и авторизация на базе сервиса KeyCloak, обеспечивающего безопасное хранение учётных данных и настройку механизма однократной аутентификации для всех сервисов SSO (Single Sign-On). 

В продуктах EveryTag применяются две модели разграничения доступа: ролевая (Role-Based Access Control, RBAC) с назначением каждой роли набора полномочий, причём пользователь или группа из LDAP-каталога могут быть связаны с одной или несколькими ролями, и объектная на базе списков доступа (Access Control List, ACL), содержащих разрешения или запреты на определённые действия над конкретными объектами (папками и документами), с поддержкой отключаемого наследования и ограничения по срокам действия записей.

Таблица 1. Минимальные системные требования для пилотного внедрения EveryTag VDR

Маркируемые документы в системе EveryTag VDR разделяются на блоки и далее модифицируются по запатентованному алгоритму. В результате аффинных преобразований происходит маркировка документа, незаметная для человека: сдвиги блоков слов, изменение межстрочных интервалов и другие подобные микроправки, в итоге составляющие новую цифровую копию.

Продукты компании EveryTag внесены в реестр российского ПО Минцифры РФ с регистрационными номерами 4464, 11299 и 11257, рекомендованы к использованию российским компаниям и госучреждениям.

Сценарии использования EveryTag VDR

EveryTag VDR имеет множество вариантов применения. Производитель выделяет следующие сценарии, в которых этот продукт может быть полезен:

• Сделки по слиянию и поглощению, проведение финансово-юридической экспертизы в безопасном и удобном формате на единой контролируемой платформе.
• Предоставление информации по аудиторским проверкам или при подготовке к IPO, безопасный доступ к документам компании для аудиторов, юристов, органов регулирования и других заинтересованных сторон в рамках проверок и аудиторских запросов.
• Выпуск и распространение документов перед ответственными мероприятиями — например, для совета директоров или обсуждения важной сделки, когда требуется разослать копии одного документа нескольким людям, в том числе приглашённым третьим лицам.
• Защита интеллектуальной собственности: чертежей, геологических карт, важных разработок, схем процессов и конструкторской документации и т. д.
• Продукт часто дополняет существующие системы документооборота, т. к. позволяет упорядочить и привести к общему регламенту хранение документов и обмен ими в организациях, решает проблему бесконтрольного хранения документов на сетевых дисках, рабочих столах пользователей.

Рассмотрим два основных варианта использования EveryTag VDR: применение рабочих областей и экспертизу обнаруженной утечки (цикл создания, маркировки и поиска источника).

Рисунок 5. Интерфейс входа в EveryTag VDR

Войти в систему можно как под локальной учётной записью, так и под доменной, если система привязана к контроллеру домена организации.

Рисунок 6. Главная страница EveryTag VDR

На главной странице будут отображаться все доступные пользователю рабочие области и документы.

Рисунок 7. Создание новой рабочей области

Нажав кнопку «Рабочие области» → «Добавить», возможно создать новую рабочую область среди имеющихся. Добавим в нашу новую рабочую область папку «АМ».

Рисунок 8. Настройка прав доступа и ролей пользователей

В рабочей области возможно управлять доступом, правами и ролями пользователей. К примеру, в системе уже есть предустановленные роли и права к ним, но также возможно создать и собственные роли и назначить им гранулированные права и варианты работы с файлами.

На уровне администрирования системы или рабочих областей настраиваются роли пользователей:

• «User» — обычный пользователь.
• «Workspace-creator» — пользователь с правами на создание рабочих областей, но без прав на их администрирование.
• «Workspace-admin» — пользователь с правами на создание и администрирование рабочих областей.
• «Officer» — роль офицера информационной безопасности, у которого отображается модуль «Экспертиза».

Все роли можно применять к любому пользователю в системе. Неважно, были ли пользователи импортированы из службы каталогов Active Directory или заведены как отдельные учётные записи вручную. Внутри самого VDR на уровне рабочих областей к любым пользователям с любыми ролями применяются ACL-шаблоны, которые в свою очередь определяют права доступа к файлам и папкам, а также различным действиям с ними.

Рисунок 9. Загрузка нового документа в EveryTag VDR

Необходимо помнить, что загрузить возможно файл любого формата (в т. ч. RAR, ISO, MPEG4 и пр.), но маркироваться будут только документы определённых форматов, перечисленных выше в статье. После загрузки документа в систему он автоматически маркируется, о чём свидетельствует индикатор в процентах слева от документа, где 100 % обозначает «промаркирован».

Рисунок 10. Открытие документа в формате просмотра в EveryTag VDR

При каждом открытии документа создаётся его уникальная копия для отображения конкретному пользователю. В интерфейсе работы с документом возможно отправить его на печать, передать иному пользователю, отослать по электронной почте.

Рисунок 11. Пример утечки конфиденциального документа в формате фотоснимка

Для проверки сравнивания документов по факту обнаружения утечки выберем документ, сделаем две копии и отправим их пользователям «ПОЛУЧАТЕЛЬ 1» и «ПОЛУЧАТЕЛЬ 2». Копию «ПОЛУЧАТЕЛЬ 2» откроем, сделаем скриншот части документа. Это будут наши вводные данные. 

Допустим, что сотрудник отдела информационной безопасности или иное третье лицо обнаруживает принадлежащий организации документ в общем доступе на стороннем ресурсе. Утечка может быть в формате скриншота, скан-копии, ксерокопии либо двух типов фотографий — распечатанного или отображённого на экране монитора документа и в виде сохранённого растрового графического файла, например *.jpg или *.png.

Рисунок 12. Интерфейс модуля для проведения экспертиз в EveryTag VDR

Сотрудник ИБ заходит на вкладку «Экспертизы» для начала процесса расследования и выявления источника утечки.

Рисунок 13. Создание нового задания на экспертизу в EveryTag VDR

Необходимо придумать наименование новой экспертизы и дать краткое описание — к примеру, указать, что именно, на каком ресурсе и как было обнаружено, чтобы не забыть информацию по каждому конкретному случаю обнаружения утечки.

Рисунок 14. Добавление и распознавание обнаруженного образца в EveryTag VDR

После добавления образца утечки, в нашем случае — под названием «Снимок», в модуль экспертизы система автоматически запустит процесс распознавания.

Рисунок 15. Выбор документа для сравнивания

Выбор документа для сравнения может происходить как в ручном режиме через «Выбор документов», так и автоматически по нажатию на «Поиск документов». В случае неоднозначности система предложит выбрать из списка наиболее подходящий документ в ручном режиме. На основе рейтинга пользователю будет понятно, какой документ подходит лучше всего.

Рисунок 16. Предварительная обработка образца документа встроенными средствами EveryTag VDR

Перед началом процесса экспертизы офицер ИБ имеет возможность отредактировать имеющийся фрагмент документа: сменить яркость, резкость, контрастность, повернуть документ, выровняв его (если фото документа было сделано под углом), изменить параметры перспективы.

Рисунок 17. Предварительная калибровка сравниваемого документа в EveryTag VDR

Как можно заметить, мы сделали скриншот образца «Снимок» очень небольшого размера, но даже по нему возможно будет провести экспертизу. До начала процесса офицеру ИБ необходимо сделать разметку сравниваемых фрагментов документов, нажав кнопку «Провести экспертизу». В появившемся окне требуется выполнить «калибровку»: определить блоки слов, на основе которых будет произведена дальнейшая экспертиза, на «Образце» и на «Оригинале», наложив тем самым выбранный фрагмент на все имеющиеся копии в базе системы. Необходимо выбрать две максимально удалённые друг от друга точки видимой части документов, в пространстве между которыми будет проводиться экспертиза, в идеальном варианте — по диагонали из одного угла в другой. Далее нажимаем «Провести экспертизу».

Рисунок 18. Результат экспертизы в EveryTag VDR

В итоге система выдаст ранжированный список людей имевших доступ к документу. В нашем случае допустивший утечку «ПОЛУЧАТЕЛЬ 2» находится на верхней строчке с рейтингом вероятности 10 из 10. Для подтверждения результата сравнения возможно зайти в выбранный результат и визуально сопоставить корректность наложения копий. По факту проведения экспертизы можно сформировать отчёт об утечке, где будут указаны все имеющиеся данные: источник утечки, дата и время создания копии документа, первоначально загрузивший документ сотрудник.

Рисунок 19. Визуальное подтверждение корректности сравнения

Слева представлена копия документа, имеющего стопроцентное соответствие нашей утечке: оба текста ложатся друг на друга. Справа — фрагмент имеющий 1 балл из 10; сразу видно, что текст сравниваемого документа и нашего скриншота совершенно не совпадают.

Итог тестирования: утечка обнаружена, источник найден, факт утечки подтверждён. Что делать дальше, решает сама организация в зависимости от секретности и важности конфиденциальной информации, попавшей в общий доступ.

Выводы

По итогам обзора системы EveryTag VDR 2022.1 хочется отметить, что она помогает компаниям в поиске утечек постфактум, когда системы DLP не справились либо были не в состоянии справиться с утечкой — к примеру, когда была произведена фото- или видеосъёмка документа или его неконтролируемая печать. Часто такую функциональность трудно получить иными средствами. EveryTag VDR не заменяет традиционные DLP-системы, но дополняет их. На российском рынке подобных систем класса VDR нет. Отдельно стоит отметить, что система практически со стопроцентной вероятностью укажет на предполагаемого нарушителя, который имел доступ к копии документа.

Достоинства:

• Понятный и удобный интерфейс, схожий с общеизвестными облачными хранилищами данных (Google Drive, «Яндекс.Диск»), отсутствие потребности в дополнительной настройке, кроме создания пользователей и распределения прав доступа.
• Наличие подробной документации, бесплатное обучение от специалистов разработчика, помощь в определении соответствия копий. 
• Размещение в облаке вендора либо в инфраструктуре заказчика, интеграция с существующими СЭД организации, возможность работы с любого устройства (смартфон, планшет, персональный компьютер).
• Вероятность создания идентичных копий стремится к нулю: благодаря маркировке можно создать более 205 триллионов вариантов каждой страницы А4 каждого документа. При этом система не хранит копии документа, а только запоминает алгоритмы его преобразования, что экономит дисковое пространство.
• Помимо маркировки возможно организовать удобное хранение документов организации по разделам, папкам, владельцам, частично заменив общедоступный файловый сервер, где недостаточно контролируются предоставление прав доступа и работа со внутренними документами.
• Включён в перечень отечественного ПО, подходит под импортозамещение систем класса VDR.

Недостатки:

• Не все форматы или виды файлов могут быть подвергнуты экспертизе. К примеру, файлы баз данных или электронные письма на почтовом сервере проанализировать невозможно. Система проверяет только текстовые документы, изображения с текстом или схемы определённых форматов.