Існують системи захисту даних, які розпізнають конфіденційний документ, перехоплюють відправку за межі домену організації та не дають записати інформацію на флешку. Але є й інша схема «зливу»: документ роздруковують, копіюють або роблять знімок екрана комп'ютера. Ось що потрібно, щоб упіймати винахідливого «крота».
Перехоплюємо папір
Цей ринок тільки почав зростання, але вже є продукти (наприклад, рішення ILD, Safeguard PDF Security), здатні відстежити витік копій конфіденційних документів. Вбудовуючись у корпоративні системиелектронного документообігу, програма особливо позначає кожну електронну версію документа. Співробітник отримує для роботи індивідуальну копію з невидимими оком зміненими відстанню між словами або міжрядковими інтервалами. У разі витоку легко встановити, хто злив інформацію, навіть якщо документ сфотографували на смартфон. При цьому алгоритм роботи з документами у компанії залишається незмінним.
1. У 68% випадків витоків винні рядові співробітники, у 8% – керівники організацій;
2. У Росії найчастіше зливають платіжну інформацію та персональні дані.
Чи потрібно попереджати працівників?
Це питання має вирішити служба безпеки спільно з топ-менеджментом компанії.
Якщо ви хочете бути відкритими та повідомляєте співробітникам про впровадження системи, ймовірність «зливу» падає: який толк, якщо зрадника відразу вирахують?
Якщо співробітники нічого не знають, служба безпеки отримує карт-бланш на розвідку і при витоку моментально обчислить крота.
Зливи та технології
Влітку 2017 року американська Комісія з цінних паперів та бірж (SEC) звинуватила семеро людей у зливі інформації про майбутні злиття та поглинання, яку надавав один із обвинувачених. Для передачі використовувався мобільний месенджер з функцією повідомлень, що самовидаляються.
Шукаємо документ
Коли ви виявили фрагмент документа в ЗМІ або він «гуляє» по ринку і хтось надіслав вам же злитий файл, відкладіть на якийсь час розгляд з винуватцями витоку і з доступом до комерційної таємниці. Спочатку потрібно зрозуміти, який саме документ був «злитий».
За великого документообігу це важко. Однак деякі системи (наприклад ILD), які відстежують витоку на паперових носіях, мають механізм повнотекстового пошуку за документом, що дозволяє службі безпеки за кілька хвилин знайти оригінал компрометованого файлу. На пошук оригіналу, сфотографованого на смартфон, знадобиться до двох годин (потрібно попередньо обробити зображення в редакторі). Розшук буде успішним, навіть якщо в відкритий доступпотрапив лише фрагмент оригінального документа або якщо він був пошкоджений - містив розриви чи помарок. Такі функції заощаджують час та людські ресурси, необхідні для розслідування події.
Шукаємо винуватця
За виявленим оригіналом легко побачити, хто зі співробітників мав доступ та працював із документом. Система порівнює характеристики компрометованого документа з копіями, раніше згенерованими для співробітників. Тут все просто: виявлений збіг безпомилково вказує спеціалістам служби безпеки на крота.
Потім вам доведеться звільнити винного – не варто розраховувати, що він виправиться. Найгірше вже сталося. Підготуйте серйозну доказову базу за даними захисної системи і на прикладі того, хто провинився, проведіть бесіду з іншими співробітниками, нагадайте, що розголошувати внутрішню інформацію компанії не можна. І укласти з усіма угоду про нерозголошення, якщо ви раптом не зробили цього раніше!
ГОЛОВНЕ У СТАТТІ
Найчастіше захищаються від витоку інформації через флешки та диски
Найменше компанії побоюються витоку через аську, квіп тощо.
Серед компаній вважається, що співробітникам найпростіше «злити» комерційну таємницю конкурентам за допомогою флешок, CD- та DVD-дисків. Про це свідчить дослідження, проведене компанією SearchInform - розробником програм захисту від внутрішніх витоків. На основі підсумкових результатів ми склали діаграми, з яких видно які саме інформаційні ресурсиприйнято зараз захищати від промислового шпигунства.
ДО РЕЧІ.
Промисловий шпигунство, тобто незаконне отримання інформації про бізнес конкурента, здійснюється через своїх агентів. Їх або впроваджують у необхідну організацію, або вербують її співробітників. Але найчастіше використовують саме впровадження, адже своїм людям довіряють більше. Способів, за допомогою яких шпигуни добувають інформацію, маса. Їм, наприклад, не складе труднощів за лічені хвилини встановити там де потрібно «жучки» або непомітно підкинути пристрій, що підслуховує (лазерний мікрофон, диктофон і т. д.).
Коли ж потрібні письмові дані, звертаються до інтернету та електронних носіїв інформації, тому саме їх використання співробітниками багато компаній намагаються обмежити. виріс за рік майже у півтора рази. Зростає недовіра до скайпу. Кажуть, що перехопити інформацію у скайпі надто складно. Саме тому співробітники вільніше спілкуються в ньому на роботі, що підвищує ризик витоку інформації конкурентам у повідомленнях та у вигляді файлів для скачування. Третій за популярністю канал витоку – це форуми, блоги, соціальні мережі та електронна пошта.
А ось захист від шпигунства через інші програми миттєвого обміну повідомленнями (аська, квіп тощо) знизився. Вважається, що співробітники найрідше використовують ці ресурси для «зливу».
Звичайно, найпростіший спосіб знизити ризик витоку – заблокувати співробітникам усі ходи та виходи: заборонити скайп, дозволити тільки корпоративну пошту, відрубати інтернет, закрити порти для флешок тощо. Але іноді саме ці способи життєво необхідні в роботі, наприклад, через скайп простіше і дешевше провести термінові переговори з іногороднім контрагентом, керівниками регіональних офісів. А USB-порт потрібен для подання звітності до фондів та податкової. Тому, можливо, такі кардинальні заходи є зайвими і достатньо обійтися встановленням спеціальних захисних програм.
Які джерела витоку інформації найчастіше блокують компанії
Досвід колег
Валентина Ковальова, фінансовий директор ТОВ "Салют", м. Єкатеринбург:
«Встановили спеціальну програму-фільтр, яка «відрізає» всі вихідні графічні файли, скани та листи великого обсягу».
Ксенія Лаврова, головбух ЗАТ «Арготекс», м. Санкт-Петербург:
«У всіх на комп'ютерах закриті порти для флешки. А якщо треба щось скопіювати, пишемо службовку. Її візує фіндир, сисадмін перевіряє інформацію та відкриває доступ».
Ганна Трифонова, головбух ТОВ «Веста», м. Новосибірськ:
«Видалене управління комп'ютером дозволяє бачити, які сайти відвідує співробітник, з ким листується».
Марія Іванова, головбух ТОВ «СМТ», м. Москва:
«Заборон на спілкування по асці, в соціальних мережах, на листування електронкою у нас у компанії немає – довіряємо. Проте особисто у мене за трьома російським банкамє ключі від "Клієнт-банку". Ось їх я бережу як зіницю ока, нікому не довіряю і завжди флешку з ключами із собою ношу».
Статтю надруковано в газеті "УНП" № 39,
Новини про витікання конфіденційної інформації – чи то масове оприлюднення поштових паролів користувачів, чи злив внутрішніх документів компаній – вже давно не рідкість для медіапростору.
Згідно з останнім дослідженням Infowatch, кількість витоків конфіденційних даних у Росії зросла за останній рік на 80%, було скомпрометовано понад 120 млн документів.
Ці цифри стають ще більшими, якщо враховувати, що частка всіх російських витоків становить лише 4% порівняно із загальносвітовими. Так чи інакше, зі «зливами» стикаються майже всі значні сфери бізнесу. За даними того ж дослідження, від внутрішніх та зовнішніх атак, внаслідок яких було втрачено конфіденційну інформацію, у 2016 році найбільше постраждали організації високотехнологічного сектору,навчальні заклади
, банки, не кажучи вже про державні органи Парадоксально, але від витоків не захищені навіть ті корпорації, у яких, начебто,інформаційна безпека має стояти на першому місці. Чого вартий, наприклад, недавній кейс, у центрі якого опинився . Так, видання The Guardian отримало доступ до внутрішніх правил.соціальної мережі
, у яких описувалася складна – часом самих співробітників світового гіганта – політика модерування записів. А якщо вже дітище Цукерберга не застраховано від витоків, що говорити про не такі глобальні компанії і тим більше про рядових користувачів. Саме персональні дані виявлялися найпривабливішими для зловмисників минулого року. Паролі від облікових записів,ідентифікаційні номери
транспортних засобів, ті ж паспортні дані, які через незнання часто пересилаються через соціальні мережі, – все це занадто ласі шматочки для тих, хто перейшов на темний бік.
Масштаби витоків, пов'язаних із комерційною таємницею, теж вражають. Їхня частка в нашій країні більш ніж у два рази вища, ніж за світовою статистикою – і майже в 4 рази частіше, ніж у світовій практиці, винуватцем цього витоку виявляється хтось із керівництва компанії.
Причому стає ще образливішим за батьківщину, коли розумієш, що конфіденційні документи «зливають» у більшості випадків свої ж люди.
У Росії понад 65% витоків посідає рядового системного користувача, ще близько 8% – на керівників.І якщо у світі винуватцем витоку більш ніж у половині випадків стає зовнішній зловмисник, то у нас частка атак ззовні лише трохи перевищує 20%.
Однак не можна сказати, що в кожній компанії, яка зіткнулася з витоком конфіденційної інформації, працюють суцільно пригріті на грудях змії. Іноді співробітник навіть не підозрює, що, наприклад, користуючись особистою поштоюзамість корпоративної, він ставить під загрозу збереження документів. Або просто втрачає його, викидає паперову версію разом із сміттям.
Але й так звані кваліфіковані витоки, коли зловмисник згодом таки використовує нелегально отриману ним інформацію, на жаль, для нашої країни зовсім не рідкість.
Як можна боротись?
Стає очевидним, що вижити бізнесу без фінансових та репутаційних втрат, спричинених вразливістю їх інформаційних систем, практично неможливо. Але на будь-яку дію знайдеться і протидія. І системи, які мають захистити компанії від витоків конфіденційної інформації, теж вже не є рідкістю.
Системи Data Leak Prevention (DLP) – сьогодні одне з найпоширеніших рішень у цій галузі. Принцип роботи DLP у тому, що ПО створює захищений цифровий «периметр» компанії, у якого аналізує всю вихідну, котрий іноді входить інформацію.
У рішеннях класу DLP є вбудовані механізми, які визначають рівень конфіденційності кожного документа. Якщо сильно спрощувати, система розуміє, кому можна і кому не можна надсилати той чи інший документ. За будь-якої спроби надіслати конфіденційний файл, наприклад, електронною поштою зовнішньому одержувачу, система заблокує пересилання та повідомить про це службу безпеки.
Звичайно, зловмисники намагаються оминати принципи роботи DLP. Використовують шифрування або змінюють у документах розкладки: кирилиці «а» або «с» перетворюють на латинські та ін. сучасні версіїзахисних ПЗ здатні, висловлюючись метафорично, знаходити і такі голки у стозі сіна.
Крім того, DLP охоплюють максимальну кількість каналів, якими може статися витік, адже важливо контролювати не тільки електронну поштуі веб, а й файлові операції - наприклад, спроби завантажити документ на зовнішній диск. Переважна більшість подібних програмнацілені на активний захистконфіденційної інформації. Це означає, що DLP-системи як розпізнають спробу «злити» файл, а й блокують її.
А якщо папір?
І все б чудово, але є одне «але». Data Leak Prevention націлені на захист цифрової інформації. Що ж лишається робити з паперовими документами, про які я вже згадував?
Контролювати роздрук документів дуже просто – можна фіксувати всі випадки роздруківки, можна навіть дозволити роздруківку лише через службу безпеки. Але як контролювати переміщення паперової копії? Ображений співробітник кладе його в сумку, виносить із офісу і далі може робити все, що захоче. Такі витоки становлять у Росії приблизно чверть усіх випадків.
На щастя, в теперішній моменттехнології захисту дісталися аналогових носіїв теж, до яких зараховують і папір. На ринку існують рішення, які здатні засікати та запобігати витоку з паперових носіїв. Загальний їх принцип полягає в тому, що кожен співробітник, який працює з документом у системі електронного документообігу, отримує індивідуальну копію, яка візуально нічим не відрізняється від оригіналу (у ній, наприклад, може бути змінено міжлітерний інтервал або нахил кегля). Одночасно система запам'ятовує час видачі такої копії, її основні параметри та дані працівника.
Працює це так:документ рано чи пізно «спливає» – публікується у ЗМІ чи починає ходити ринком. Отримавши його копію, служба безпеки проганяє її через систему і за мікроскопічними відмінностями виявляє винуватця. Навіть якщо той «зливає» фрагмент документа або пом'яту копію, система однаково точно знає, хто стоїть за роздруком.
Чи можлива профілактика проти витоків?
Жодна система не дає 100% захисту від витоку інформації. За дуже сильного бажання зловмисник, який проник у організацію, завжди знайде спосіб обходу. Але переважна більшість витоків походить або від неписьменності, або на авось - "ну відправлю документ, що мені буде". Якщо співробітники знають, що існує система відстеження, інциденти чудово припиняються.
Освіта співробітників, створення комплексних систем безпеки та проведення їх стрес-тестування – гарне щеплення від інформаційних втрат. Коли ж йдеться про навмисне шкідництво, промислове шпигунство, підключається вже важка артилерія у вигляді DLP-систем, програм захисту паперових документів та рішень для аналізу поведінки користувачів.
Глава американської компанії Facebook Марк Цукерберг вибачився перед користувачами соціальної мережі за витік даних: «Зараз ми вживаємо заходів, щоб бути впевненими в тому, що це більше не повториться».
Нагадаємо, що скандал навколо Facebook почався після того, як стало відомо, що британська компанія Cambridge Analytica незаконно отримала доступ до інформації близько 50 млн. користувачів Facebook для розробки алгоритму аналізу політичних уподобань виборців.
Невже Facebook став надто великою та некерованою мережею?
Сам Марк Цукерберг у розмові з кореспондентом CNN Лорі Сегал наполягав, що компанія залишається підконтрольною, незважаючи на масштаб її діяльності.
Не дивно, що в центрі уваги опинився саме Facebook: ця компанія має мільярдну аудиторію і має сильний вплив на медіа та рекламні галузі. Окрім того, Facebook практично не має прямих конкурентів.
Як компанія «Великої четвірки», Facebook може не тільки створювати нові галузі промисловості, а й відтворити саме суспільство. Саме тому варто враховувати вплив компанії як на президентські вибори, так і на загальну політичну ситуацію у світі.
Цукерберг зізнається, що відчуває деякі незручності через ситуацію, що склалася: «Я б не повірив, що через 14 років Facebook матиме такий вплив», — проте він підкреслив, що проблеми з дезінформацією та підробленими новинами не можуть бути вирішені тільки Facebook.
“Для користувачів соціальної мережі поточна ситуація не матиме особливого значення. Звичайно, це негативно впливає на імідж компанії. Але ж мільярди людей щодня користуються Facebook не завдяки його іміджу, а завдяки функціоналу! І це запорука того, що ця проблема не матиме серйозних довгострокових наслідків для Facebook”, — коментує ситуацію венчурний аналітик компанії ILAG В'ячеслав Фокін.