Как обезопасить драгоценную конфиденциальную информацию, которая нередко являет
В последнее время тема защиты информации от несанкционированного использования привлекает к себе все больший интерес. Неслучайно исследования показывают, что именно эти проблемы в реальности гораздо опаснее для любой компании, чем широко известные угрозы вирусов, хакерских атак и спама.
Насколько реальна угроза от действий инсайдера и насколько может быть велик ущерб, наносимый хищением информации? В качестве классического примера приведем распространенный факт: зачастую сотрудники отдела продаж при увольнении пытаются унести с собой доступную им часть клиентской базы. Такая утечка может привести к потере клиентов и значительной утрате доходов компании. А ведь такие случаи бывают повсеместно и даже стали «рутинной» частью жизни.
Шаг в сторону приравнивается к побегу?
С хищением информации необходимо бороться — это понимают руководители предприятий. Основные причины, которые побуждают задумываться об этом, — необходимость защитить информацию, находящуюся в собственности компании, соблюсти требования регуляторов, возможность получения конкурентных преимуществ, а также предоставление доказательств непричастности в случае возникновения инцидентов.
Однако пока можно говорить лишь о «первом этапе» понимания проблемы, когда предпринимаются меры для максимально возможного ограничения доступа сотрудников к информации, способов ее транспортировки и передачи.
Данный подход хотя способен предотвратить кражу корпоративных данных рядовым сотрудником, но абсолютно не защищает информацию от «привилегированных» лиц — от системного администратора до руководителя отдела или всего предприятия. В то же время опыт расследования подобных инцидентов показывает, что наиболее опасные утечки происходили именно при участии сотрудников высшего звена, ИТ-персонала и даже работников отдела безопасности.
Поэтому в последнее время все большее внимание уделяется именно расследованию и предотвращению несанкционированного использования информации. Бывают случаи, когда утечки происходят не в корыстных целях, а чуть ли не «из лучших побуждений». Злоумышленники могут воспользоваться этим и, применяя методы социальной инженерии, манипулировать благонадежными сотрудниками. Соответствующие расследования и собственно средства для их проведения помогают выявить факт утечки, а значит, и лиц внутри компании, ее осуществивших.
Сохранение информации обо всех действиях пользователей корпоративных систем, ведение архива переписки и внутреннего документооборота в сочетании с мощными средствами анализа данных представляют собой наиболее эффективный и современный способ борьбы с утечками.
Для предотвращения хищений или несанкционированного использования информации внутри организации возможны два подхода (или различные их комбинации).
Первый — запрещающий. Как правило, именно его предпочитает большинство сотрудников отделов безопасности, чаще всего он применяется в малых и средних организациях. Заключается такой подход в максимальном блокировании возможных путей утечки информации: запрете на использование съемных носителей, ограничении доступа к Internet, контентной фильтрации электронной почты. Технические средства для реализации запрещающих политик могут варьироваться от стандартных возможностей, предоставляемых операционной системой, до использования специального программного обеспечения.
Второй подход — аналитический, чаще всего использующийся в банках, крупных ресурсодобывающих компаниях (в большинстве случаев сочетается с первым подходом). Для его реализации организация должна иметь развитые средства анализа различных событий и информационных объектов, чтобы в случае обнаружившегося нарушения провести расследование для установления виновных и принятия мер.
Программное обеспечение, использующееся для реализации политик безопасности, варьируется от достаточно простых продуктов, предоставляющих базовые возможности по борьбе с хищением информации, до сложных комплексных аналитических систем.
Для блокировки доступа к съемным носителям могут использоваться решения DeviceLock или Infowatch Net Monitor. Подобные возможности, кроме того, начинают включаться в антивирусные программы (например, Symantec EndPoint Security). Эти программные средства позволяют создавать политики пользования такими носителями информации, как съемные диски, записываемые CD/DVD-диски. Кроме того, решение Infowatch Net Monitor позволяет контролировать вывод информации на принтер. При этом возможно создание многоуровневых прав доступа к устройствам, когда одни сотрудники имеют полный доступ, другим обеспечен доступ только на чтение информации, третьим доступ запрещен вообще.
Однако средства контроля съемных устройств способны перекрыть только часть возможных каналов утечки. Практически во всех организациях сотрудники имеют доступ к Internet и электронной почте, поэтому контроль этих каналов является необходимой составляющей любой системы защиты.
Многие программные продукты для защиты электронной почты от вирусов включают контентный анализ содержимого писем и вложений (например, решение Trend Micro Interscan Messaging Security Suite или Symantec Mail Security). Такое ПО может не только запретить пересылку определенных типов файлов за пределы организации, но и контролировать наличие определенного текста в теле письма, теме или вложениях. Например, большинство конфиденциальных документов составляются по определенной форме, содержат подписи определенных лиц, информацию о конкретных контрагентах. Внесение слов или словосочетаний такого типа в базу контентной фильтрации позволяет перехватывать нежелательную корреспонденцию и информировать отдел безопасности о произошедшем нарушении. В некоторых продуктах такие фильтры можно настроить как для всех сотрудников организации, так и для отдельных групп или пользователей.
Контроль корпоративной электронной почты должен быть дополнен средствами контроля web-почты и таких средств коммуникации, как чаты, форумы, IM (Instant Messenger, пейджеры мгновенных сообщений), P2P-приложения.
Большинство программных средств как раз и практикуют запрещение ресурсов такого типа с использованием постоянно обновляемых баз соответствующих программ или распознавания трафика приложений. К программным средствам такого рода относятся SurfControl, WebSense, TrendMicro InterScan WebSecurity Suite с подключенным модулем url-фильтрации и др.
Однако в последнее время IM все чаще используется в качестве бизнес-инструмента, особенно в средних и малых компаниях. Если запретить сотрудникам пользоваться такими коммуникациями, компания перестанет получать доход. Поэтому сейчас разработчики уделяют все большее внимание созданию решений не для запрета, а для контроля подобных коммуникаций.
Доверять, но проверять
Но как быть, если человек по роду своей службы должен иметь доступ к информации и при этом пользоваться съемными носителями или электронной почтой без ограничений? В этом случае ограничения должны накладываться на конкретные типы документов, содержащих конфиденциальные сведения. Программные решения, позволяющие реализовать эту задачу, например, Infowatch Traffic Monitor McAfee Data Loss Prevention, обладают встроенными возможностями контентной фильтрации, превосходящими возможности упомянутых выше продуктов и при этом обладают рядом дополнительных функций. Скажем, наличие определенного текста в документе при пересылке или копировании может являться триггером для срабатывания правила только в определенное время (например, во время подготовки важного пресс-релиза).
Наконец, что делать, если сотрудник организации является почти что боссом и ему позволено все? Единственным средством контроля в данном случае является ведение подробных журналов действий, архивов переписки. Поймать за руку такого сотрудника при совершении неправомерных действий — очень непростая задача, но по крайней мере анализ сохраненной информации о его действиях позволит установить истину и предпринять необходимые административные или юридические меры.
Данные, собранные системой защиты от инсайдеров, могут иметь юридическую силу и в случае возникновения прецедента способны стать доказательством в суде при соблюдении некоторых требований. Полагаясь на подобные данные, служба безопасности компании должна быть уверена, что они не сфальсифицированы, а значит, в информационную систему компании и ее бизнес-процессы необходимо встроить соответствующие средства: строгую аутентификацию, электронную подпись, защиту баз данных и пр. Кроме того, в компании должна быть создана юридическая база для деятельности службы безопасности, не противоречащая действующему законодательству.
Психологический фактор
Нужно отметить также, что средствам, ограничивающим возможности пользователей, присущи определенные отрицательные моменты, особенно если сотрудники обладали большей свободой в пользовании информацией. Кроме того, открытый контроль всех действий работников может вызвать нездоровую обстановку в коллективе, угнетенное состояние, порожденное предполагаемым отсутствием доверия, боязнь возможных ошибок и т.д.
Совесть или техника?
Использование всех перечисленных средств для борьбы с утечками способно в значительной мере увеличить безопасность организации. Однако подобные программные средства, как и любое другое решение, не являются панацеей от всех бед. Они предназначены скорее для того, чтобы максимально затруднить деятельность нечистых на руку сотрудников низшего и среднего звена.
Опыт показывает, что многие известные утечки информации происходили при участии людей, имеющих максимальные привилегии, — управленцев, администраторов, сотрудников отделов безопасности. Наконец, никакое техническое средство не способно предотвратить «зрительный» съем информации и использование такого «носителя», как человеческая память. Но это уже за пределами компетенции технических специалистов и больше относится к морально-этическим аспектам существования человека в коллективе и обществе.
Дмитрий Слободенюк — коммерческий директор ГК «Антивирусный центр», expert@antiviruspro.com
Многие известные утечки информации происходили при участии людей, имеющих максимальные привилегии