Назад

Как не допустить утечки данных в организации

Статьи 26.11.2024

30 ноября отмечается Международный день защиты информации. В преддверии этой знаменательной даты хотим поговорить о такой важной проблеме, как утечка данных. Значимость информации для бизнеса трудно переоценить, а утечка данных из организации может привести к фатальным последствиям. К счастью, для защиты от утечки существует специальное программное обеспечение – DLP-системы.

Для начала уточним терминологию. DLP – это англоязычная аббревиатура, и в разных источниках ее расшифровывают по-разному. Например, как Data Leak Prevention (предотвращение утечки данных) или Data Loss Protection (защита от потери данных). Слова похожие, но смысл разный: при утечке данные у вас остаются, но становятся доступными кому-то еще, если же происходит потеря (например, из-за утраты или поломки носителя с единственной копией, в результате действий вируса-шифровальщика, случайного или преднамеренного удаления информации), вы лишаетесь своих данных.

Говоря о DLP-системах, мы подразумеваем именно предотвращение утечки данных. Для защиты данных от потери предназначены другие программные комплексы: антивирусы следующего поколения (NextGen-антивирусы), системы резервного копирования (СРК) с соответствующими механизмами и т. д. Примером такой СРК является продукт Кибер Бэкап: в него входит модуль Активная защита, который выявляет несанкционированные операции шифрования данных и предотвращает их.

Ниже более подробно разберем, что означает каждая из букв в аббревиатуре DLP.

D (Data): о каких данных мы говорим

За этим словом скрывается многообразие объектов, которые могут содержать конфиденциальную, персональную, коммерческую и финансовую информацию, информацию, относящуюся к гостайне и пр. Некоторые виды данных описаны в соответствующих федеральных и отраслевых законах (например, 152-ФЗ относится к персональным данным – как клиентским данным, так и данным о сотрудниках; 161-ФЗ применяется к банковским, финансовым и иным организациям, работающим с национальной платежной системой; 98-ФЗ определяет требования по защите коммерческой тайны), нормативных актах, некоторые – в договорных документах между сторонами или во внутренних регламентах компаний. Помимо этого, каждая отрасль имеет свой дополнительный набор данных, которые являются важными, и их утечка может навредить бизнесу.

L (Leak): как данные могут утечь

Тут достаточно много вариантов, они делятся на инсайдерские активности (инициированные сотрудниками) и внешние. К первому типу относятся следующие действия:

  • отправка письма по электронной почте;
  • копирование файлов на физически отчуждаемые устройства или носители;
  • копирование файлов на внешний сервис обмена файлами;
  • распечатка содержимого документов;
  • отправка сообщений и вложений через мессенджеры и чаты.

Отметим, что утечкой информации можно считать и факт предоставления доступа к информации коллегам, которым она не предназначена. Да, в этом сценарии информация не покидает пределов организации, но всё же это утечка внутреннего характера или масштаба, которая в конечном итоге может привести к тому, что данные окажутся вне организации.

Также активности могут быть преднамеренными и случайными. Например, отправка письма с конфиденциальными данными по электронной почте может быть совершена как умышленно (сотрудник явно знает, что он совершает что-то запрещенное, и его цель – именно вытащить данные), так и случайной (когда сотрудник из благих побуждений или банальной невнимательности добавил в копию дополнительных внешних адресатов, у которых не должно быть доступа к этим данным).

Внешние активности могут включать:

  • проникновение внутрь ИТ-периметра организации (хакеры);
  • получение доступа к базам данных через различные уязвимости;
  • работа шпионского ПО (например, кейлоггеры) и вредоносных программ (отметим, что сотрудники тоже могут преднамеренно использовать такие средства).
P (Prevention): предотвращение утечки

Рассмотрим более подробно, как DLP-система защищает организацию от утечки информации, не подлежащей распространению. Система осуществляет непрерывный контроль информационного поля организации – всей входящей, исходящей и перемещающейся внутри информации (data in motion), а также хранимых данных – данных, которые в настоящий момент никуда не перемещаются (data at rest). В мониторинг попадает и интернет-трафик, и файлы, копируемые на внешние носители, и документы, выводимые на устройства печати или отправляемые на мобильные устройства, и данные, передаваемые в рамках терминальных сессий, а также данные, расположенные на компьютерах пользователей и в сетевых папках, файловых хранилищах, приложениях для корпоративного обмена данными, таких как наш продукт Кибер Файлы.

Данные анализируются и, если обнаружена конфиденциальная, критичная для организации информация, которая перемещается в запрещенном направлении, или сотрудник пытается выполнить запрещенные ему операции с данными, DLP-система должна реагировать на это. Реакцией может быть блокировка действий пользователя с целью предотвратить утечку, либо система лишь зафиксирует факт передачи данных в системном журнале и при необходимости сообщит о нем по электронной почте, SMS или другим способом ответственным лицам: специалистам службы безопасности, сотрудникам ИТ-подразделения или руководству.

Отметим, что в полнофункциональных DLP-системах инспекция данных выполняется в режиме реального времени, тогда как на рынке есть и продукты, которые только анализируют записи в журнале постфактум, когда данные уже утекли. Хорошим примером полнофункциональной DLP-системы, которая позволяет действовать превентивно, является наш продукт Кибер Протего.

Выше мы приводили пример, когда к коллегам попала информация, которая им не предназначена. В целом, что будет, если информация уже оказалась там, где ее быть не должно? В этих сценариях работает такая функция DLP-систем, как поиск внутри хранимых данных. Ее задача – проактивное предотвращение утечки за счет анализа данных. Систему можно настроить на сканирование рабочих станций, файловых хранилищ и т. д. с целью обнаружения чувствительных данных, к которым не должно быть доступа. Если такие данные будут обнаружены, система предпримет определенные действия, например, удалит данные или отправит тревожное оповещение администраторам. В нашем продукте Кибер Протего за поиск внутри хранимых данных отвечает модуль Cyber Protego Discovery.

Работа DLP-системы построена на основе правил, которые диктуются политиками информационной безопасности, принятыми в организации. Они определяют, кому и какие каналы передачи данных доступны, какие устройства и сетевые сервисы можно использовать, какая информация является конфиденциальной (информацией ограниченного доступа), и перечень сотрудников, допущенных к обработке такой информации.

С точки зрения архитектуры раньше DLP-системы делили на шлюзовые и хостовые. В большинстве современных систем (например, в нашем продукте Кибер Протего) используется гибридная архитектура. Часть компонентов работает на серверах и занимается инспекцией сетевого трафика, анализом данных, выявлением инцидентов в журналах и т. д., а агенты, устанавливаемые на компьютерах пользователей, реагируют на их операции с локальными устройствами, поиск данных в локальной файловой системе, а в случае недоступности сервера или его неспособности разобраться с протоколом передачи данных могут и проанализировать трафик, содержимое файлов и самостоятельно предотвратить утечку в месте ее возникновения. Таким образом, гибридная архитектура позволяет максимально гибко подходить к решению описанных выше задач обеспечения информационной безопасности.

DLP-система Кибер Протего

При описании возможностей и особенностей DLP-систем выше мы неоднократно упоминали наш продукт Кибер Протего и его компоненты. Кибер Протего состоит из набора взаимодополняющих функциональных модулей: Device Control, Web Control, Content Control, Cyber Protego Search Server и Cyber Protego Discovery. Модули могут лицензироваться в любой комбинации для решения задач служб информационной безопасности компании. У продукта есть бесплатная 30-дневная пробная версия, которая позволит оценить его возможности. Используйте проверенные решения для предотвращения утечки данных и соблюдайте правила информационной безопасности!

sbscrIconLight.png
Подпишитесь на нашу рассылку Будьте в курсе всех новостей и событий Подписаться
Вы успешно подписались на рассылку Киберпротект!