Результаты исследований причин утечек конфиденциальной информации в различных странах вот уже несколько лет представляют собой одну и ту же картину: на первом месте (64% от общего числа разглашений защищаемой информации) среди источников утечек всегда стоит внутренний нарушитель — то есть человек, обладающий легитимным правом доступа на территорию компании, которая становится его жертвой.
В 50% случаев — это рядовой сотрудник такой компании, не обладающий набором привилегированных (административных) прав доступа к информационным системам.
В 70% случаев происходит раскрытие персональных данных — одного из охраняемых федеральным законодательством вида конфиденциальной информации.
Длящаяся вот уже несколько месяцев пандемия коронавирусной инфекции 2019-nCoV внесла свои коррективы в режим работы компаний практически во всех отраслях: теперь многие сотрудники работают удаленно, что ещё больше увеличивает риск утечек информации.
Популярные каналы утечек информации
Среди самых распространенных каналов утечек данных следует отметить следующие:
- Электронная корпоративная почта;
- Интернет: web-почта, социальные сети, форумы, облачные хранилища;
- Голосовые сообщения: Skype;
- Системы мгновенных сообщений: WhatsApp, Skype, Microsoft Lync, Jabber, Mail.ru agent, ICQ;
- Файловые хранилища: протокол FTP;
- Периферийные и внешние подключаемые устройства: мобильные устройства, съемные носители flash, hdd и иные;
- Задания на печать: локальные и сетевые.
С контролем и защитой всех указанных каналов отлично справится грамотно настроенный инструмент – DLP (сокращение от «Data Leak Prevention»), который представляет собой систему, осуществляющую в режиме реального времени обнаружение и предотвращение нежелательной передачи конфиденциальной информации по различным каналам (как внутри компании, так и за её пределы), а также контроль таких действий на конечных устройствах пользователей.
Наиболее часто DLP – системы применяют для контроля потоков данных в почте, web-почте, при использовании сотрудниками (в т.ч. с помощью средств обхода корпоративных средств блокировки доступа, например, с помощью VPN) внешних хранилищ данных, внешних жестких дисков и flash-накопителей, социальных сетей, форумов, сайтов поиска работы, развлекательных и запрещенных сайтов
Специфические каналы утечек информации
Помимо указанных выше каналов есть ещё несколько и, несмотря на то, что их гораздо меньше, — контролировать их гораздо сложнее:
- Фотографирование экрана с конфиденциальной документацией;
- Фотографирование или кража распечатанных документов.
Первый способ контроля — это запретить на рабочем месте использование любых мобильных устройств, оснащённых камерой, а также установка видеонаблюдения на всей территории компании (в т.ч. на рабочих местах, что влечёт за собой определённые трудности) — такой метод подойдёт разве что государственному предприятию со строгим режимом обработки информации, а не коммерческой структуре.
Более эффективным может стать использование платформы маркирования документов, например, такой как Docs Security Suite (DSS).
DSS принудительно проставляет визуальные и/или скрытые метки конфиденциальности на документы (как электронные, так и распечатанные), регистрирует все действия пользователя с документом, прослеживает взаимосвязь документов, разграничивает и контролирует права доступа пользователей на основе матрицы доступа меток конфиденциальности.
Таким образом, даже если произойдёт утечка фотографий, то на основании меток и истории работы с документом, которая сохраняется в базе данных DSS для дальнейшего анализа и расследования инцидентов, можно будет с высокой долей вероятности узнать источник утечки.Также данный продукт отлично интегрируется с DLP, что позволит отслеживать потоки документов с метками конфиденциальности по всем указанным ранее каналам.
Комплекс мер для борьбы с утечками
При защите конфиденциальной информации хорошей практикой является использование комплексного подхода — то есть комбинация организационных и технических мер, например, таких как:
- Проведение аудита процессов обработки конфиденциальной информации и инфраструктуры, задействованной в таких процессах, на соответствие требованиям законодательства, отраслевым стандартам и внутренней документации по информационной безопасности;
- Разработка/доработка комплекта организационно-распорядительной документации, описывающей цели, требования и процедуры по защите информации;
- Проектирование и внедрение системы защиты информации, которая может состоять из следующих модулей: идентификация, аутентификация, авторизация пользователей (SSO, OTP, биометрия), управление учетными записями (IdM), защита конечного оборудования (антивирусы, аппаратные замки), сетевая безопасность (межсетевые экраны, VPN, песочницы), инфраструктура открытых ключей (УЦ, HSM), защита виртуальных сред (VMsec), управление инцидентами (SIEM, IRP), патч-менеджмент, защита от утечек (DLP), безопасность мобильных устройств (MdM), защита доступа в интернет (WAF, proxy).
- Систематическое обучение сотрудников процедурам по защите информации: в том числе политике «чистого стола» и правилам уничтожения бумажных носителей информации;
- Плановые и внеплановые проверки: тесты на проникновения, моделирование сценариев инцидентов, использование социальной инженерии.
Для контроля внедрённых мер защиты самым удачным подходом будет проведение ежегодных аудитов (своими силами или с привлечением лицензиата ФСТЭК России по технической защите конфиденциальной информации), а также совершенствование системы защиты информации, исходя из выявленных во время аудита недостатков, после регулярного моделирования угроз и на основании оценки рисков.