Мировая статистика годами демонстрирует рост количества случаев утечки данных. Это вызвано диджитализацией экономики и переходом на новый уровень понимания ценности цифровых технологий, ресурсов и знаний для эффективного ведения бизнеса и обеспечения конкурентоспособности небольших компаний и производств, а также корпораций и государств в целом. За последние два года особенно выросло количество утечек, связанных с политической деятельностью стран — вспомним ход громких предвыборных кампаний 2016 года.
2. Физические каналы утечки информации
3. Информационные каналы утечки данных
Введение
По словам аналитиков, к традиционным лидерам по количеству утечек — финансовый сектор и ритейл — добавились другие индустрии, IT-компании и государственные организации (Отчет «Глобальное исследование утечек конфиденциальной информации в 2016 году» компании Infowatch, отчет «Утечки конфиденциальной информации в России и в мире. Итоги 2016 года» компании Zecurion.). Кроме очевидного, но сложно измеримого вреда деловой репутации, аналитиками отмечены и более понятные негативные последствия утечек — отмена сделок, компенсация ущерба третьим лицам, затраты на судопроизводство.
Каналы утечки информации крупно по типам реализации можно разделить на два основных вида — физические и информационные. Информационные каналы по объему и вероятности потенциальной утечки превосходят возможности физических каналов. Тем не менее, возможная потеря от раскрытия небольшого по объему информации, но важного секрета может принести предприятию не меньше вреда, чем потеря нескольких гигабайтов персональных данных. В том числе поэтому многие предприятия сейчас равнодушно относятся к возможности отслеживания передачи больших объемов информации — их интересует больше состав информации и ее качество.
Физические каналы утечки информации
Наиболее распространенный физический канал утечки информации связан с классическим документооборотом — обменом документами внутри организации, с клиентами и поставщиками услуг и товаров, а также архивным хранением. Утечка информации может произойти в результате перехвата документа после его вывода на печать (например, когда принтер главного бухгалтера или генерального директора размещен в общем офисном пространстве), вследствие несвоевременного уничтожения документов (если компания не проводит соответствующего обучения сотрудников и экономит на шредерах), свободного доступа к шкафам с архивными документами (отсутствие сейфов), некорректного переноса и уничтожения документов при переездах или реорганизации компаний и т. п. К сожалению, все эти случаи не относятся к чистой теории, это наблюдения из практики работы топ-10 организаций страны, у которых, казалось бы, все есть, и внутри отстроен полный набор процессов для обеспечения безопасности.
Для пресечения канала утечки информации путем выноса оборудования предприятию необходимо позаботиться об организации безопасного физического периметра, охране доступа в серверные помещения и на объекты, в которых размещаются резервные копии данных и электронных архивов. Еще один печальный пример: ленточную библиотеку, в которой хранились резервные копии одной из основных корпоративных информационных систем, ввиду ее больших габаритов, не удалось разместить в контролируемых серверных помещениях. Поэтому библиотека «условно временно» хранилась в офисной комнате. Частично спасало ситуацию то, что проход в организацию контролировался с помощью СКУД. Однако служба безопасности не учла, что в комнате имелось несколько окон, через которые злоумышленник мог проникнуть и унести несколько лент с данными с собой.
Популярность концепций open space и «бизнес-парк», компактное размещение сотрудников, использование стеклянных перекрытий становится драйвером риска утечки информации по визуальному и акустическому каналам. В данном контексте для защиты информации необходимо обеспечить конфиденциальность работы ключевых сотрудников (выделенные кабинеты, отсутствие людей «за спиной») и изоляцию переговорных помещений. Кроме этого, сотрудники предприятия должны быть проинформированы о недопустимости ведения некоторых типов переговоров вне защищенных зон, например в барах и кофейнях.
Применение высокотехнологичных средств сбора информации — так называемых специальных технических средств (сверхминиатюрных фото- и видеокамер, жучков, средств перехвата электромагнитных и индукционных каналов) обычно направлено на решение специфичных задач и в настоящей статье не рассматривается: намного проще получить нужную информацию, используя вышеописанные уязвимости. Тем более что использование специальных технических средств регулируется Федеральной службой безопасности России, а также статьей 138 Уголовного кодекса Российской Федерации.
Информационные каналы утечки данных
Информационные каналы разнообразны и способны пропустить через себя значительные объемы данных. Основными из них являются:
- утечки через корпоративную почту, характеризующиеся большим количеством неумышленных случаев раскрытия информации (утечки «быстрой руки»);
- утечки по web-каналам, включая сервисы обмена сообщениями (IM);
- утечки через съемные носители;
- утечки через мобильные устройства.
Утечка данных прямо с серверных компонент возможна при наличии уязвимостей в корпоративных процессах и технологиях:
- не организована сегментация и фильтрация доступа к системам обработки и хранения данных;
- не организован контроль доступа к данным — часто пользователь получает больше привилегий при работе с документами, чем необходимо, или некорректно организован процесс предоставления прав доступа к данным;
- отсутствует контроль привилегированных пользователей.
Утечки данных при использовании персональных компьютеров и мобильных устройств могут быть обусловлены следующими обстоятельствами:
- потеря мобильного устройства и хранимой на нем информации;
- подключение пользователем к компьютеру или ноутбуку съемных носителей (флеш, usb-модем, внешний жесткий диск и т. п.) и последующее несанкционированное копирование данных;
- пользователь с правами администратора может отключить DLP-агент или другой агент мониторинга и отправить интересующие данные удобным способом;
- при отсутствии контроля за установкой приложений возможна установка криптографического или стеганографического ПО и передача украденных данных даже через фильтрующий DLP-шлюз.
Разнообразны и web-каналы утечки информации:
- выгрузка данных на один из множества доступных облачных сервисов;
- пересылка данных через web-mail;
- организация туннеля до домашних или других внешних ресурсов и выгрузка через него интересующих данных, причем реализация удаленного подключения доступна даже рядовым пользователям в виде расширений для браузеров;
- отправка данных с помощью сервисов передачи сообщений (IM).
При внедрении на предприятии DLP-решения необходимо учесть ряд нюансов, от которых зависит эффективность защиты:
- расшифровка SSL — обязательный элемент инсталляции DLP-шлюза, но не все DLP-системы умеют выполнять эту функцию, поэтому часто требуется дополнительное решение для SSL-offload;
- проработка политик офлайн-режима — DLP-агент должен продолжать работать в режиме активного сканирования также и вне офисной сети;
- настройка политик не только по регулярным выражениям, но также и по заданным образцам — фингерпринтам (метаданные файла, хэши блоков текста с вероятностным анализом и др.);
- ограничение использования различных почтовых агентов и web-браузеров, так как DLP-агенты разработаны не для всех вариантов реализации пользовательского программного обеспечения;
- в случае с мобильными устройствами желательно использование концепции EMM (Концепция Enterprise Mobility Management (EMM) включает в себя следующие компоненты: Mobile device management (MDM), Mobile Application Management (MAM), Mobile Content Management (MCM).) и обеспечение стандартизации мобильных устройств (например, использование только устройств Samsung, так как данная платформа имеет глубокую интеграцию с EMM-системами, отказ от использования мобильных платформ Windows).
Выводы
Как показывают последние аналитические исследования, актуальными остаются и внутренний, и внешний нарушители. При этом количество преднамеренных и случайных утечек также сопоставимо, и это соотношение не демонстрирует явного лидера.
Многие аналитические источники подчеркивают, что в случае с внешним преднамеренным нарушителем объемы украденных данных выше. Это объясняется сложностью проникновения в информационную среду жертвы и, в случае успеха, большим стимулом завладеть максимально возможным объемом информации.
Большая часть утечек информации, реализованных внутренним нарушителем, связана с личной корыстью и характеризуется более узкой зоной интереса и, следовательно, значительно меньшими объемами похищенных данных.
Каналы утечек, согласно многим исследовательским отчетам (См., в частности, отчет «Глобальное исследование утечек конфиденциальной информации в 2016 году» компании «Infowatch».), сместились в сторону использования web-сервисов. Внутренний нарушитель часто знает о существовании DLP-систем на предприятии и мониторинге почтовых каналов и внешних устройств и поэтому использует web-каналы, которые, в силу их разнообразия, контролировать сложнее.
Большинство аналитических источников констатирует незначительный объем утечки информации через мобильные устройства. Отчасти это связано с ограниченностью доступной на мобильном устройстве информации, а также с внедрением во многих компаниях средств защиты мобильных устройств. Но не принимать в расчет мобильный канал утечек полностью тоже неправильно: степень мобилизации бизнеса растет.
В заключение отметим, что организация эффективной защиты от утечек информации требует комплексного подхода, который предусматривает анализ основных каналов утечки данных, обучение сотрудников предприятия правилам безопасной работы с информацией, реализацию постоянного мониторинга новых угроз, а для масштабных и разнообразных ИТ-ландшафтов — привлечение команд профессиональных исполнителей для проектирования и внедрения решений.
