Утечки конфиденциальной информации: профиль угроз. Современные технологии защиты от утечки конфиденциальной информации Утечка конфиденциальной информации в образовании

Не секрет, что сегодня информация играет гораздо большую роль в жизни любой компании или государственной организации, чем пару десятков лет назад. Кто владеет информацией, тот владеет миром, а кто владеет чужой информацией, тот гораздо лучше подготовлен к конкурентной борьбе, чем его соперники. Чем чреваты сегодня утечки конфиденциальной информации для тех, кто их допускает?

Внедрение новых информационных технологий ставит современные компании в зависимость от информационной системы, а переход на электронные носители информации приводит к необходимости уделять пристальное внимание вопросу информационной безопасности. Любое вмешательство в работу информационной системы: кража, уничтожение или несанкционированный доступ к данным может привести к значительным убыткам компании, а иногда и к ее полной ликвидации, особенно если эти данные касаются ее коммерческих тайн или ноу-хау.

Обеспокоенность внутренними угрозами информационной безопасности обоснованна. Госструктуры и представители бизнес-сектора ставят на первое место утечку информации далеко не случайно, так как негативные последствия этого инцидента очевидны: прямые финансовые убытки, удар по репутации, потеря клиентов. Сравнение индексов обеспокоенности внутренними и внешними угрозами ИБ показывает, что именно инсайдерские риски превалируют в списке наиболее опасных угроз. Более того, наибольший рейтинг опасности приходится на утечку конфиденциальной информации.

Согласно данным портала информационной безопасности Content Security степень опасности внутренних и внешних угроз такова:

• разглашение (излишняя болтливость сотрудников) — 32%;
• несанкционированный доступ путем подкупа и склонения к сотрудничеству со стороны конкурентов и преступных группировок — 24%;
• отсутствие в фирме надлежащего контроля и жестких условий обеспечения информационной безопасности — 14%;
• традиционный обмен производственным опытом — 12%;
• бесконтрольное использование информационных систем — 10%;
• наличие предпосылок возникновения среди сотрудников конфликтных ситуаций, связанных с отсутствием высокой трудовой дисциплины, психологической несовместимостью, случайным подбором кадров, слабой работой кадров по сплочению коллектива — 8%.

Наиболее актуальными и значимыми, как это ни печально, оказываются угрозы, источником которых выступают пользователи системы и ее обслуживающий персонал, то есть сотрудники компаний. Такая тенденция подтверждается не только различными исследованиями крупнейших аудиторских компаний, но и отмечается в ежегодных докладах МВД России, посвященных правонарушениям в сфере информационной безопасности.

В качестве примера можно привести «утечку» клиентской базы в компанию-конкурент вместе с сотрудниками. По неофициальной информации, с такой проблемой столкнулся филиал коммерческого банка ОАО «Уралсиб» в Воронеже, когда в конце 2009 года ряд сотрудников «Уралсиба» перешли работать в Воронежский филиал Банка «Поволжский» забрав с собой клиентскую базу предыдущего работодателя. И клиенты «Уралсиба» с назойливой регулярностью начали получать предложения от нового банка. Это может привести к оттоку клиентов, возможным судебным тяжбам и, конечно же, удару по репутации банка. В «Уралсибе» и банке «Поволжский» эту информацию не комментируют.

Нельзя сказать, что проблема утечек информации появилась совсем недавно — такие вещи, как промышленный шпионаж, переманивание ценных специалистов вместе с их наработками и знаниями и другие подобные действия известны уже достаточно давно. В информационную эпоху возросла их актуальность и значимость, поскольку сегодняшние приемы обработки и хранения информации открывают поистине безграничные возможности для того, кто хочет эту информацию незаконно получить. Ведь если раньше нужно было выносить в буквальном смысле целые шкафы бумажных документов, то сегодня все это можно передать по электронной почте или записать на помещающуюся в карман небольшую флэшку. И объемы информации, которую сегодня можно запросто «слить», только увеличивают значимость угрозы утечек конфиденциальных данных.

Для того чтобы говорить предметно о возможных последствиях утечек информации, нужно, в первую очередь, посмотреть на то, какая информация может вообще «утекать» из компании. Сегодня, как показывает практика, сотрудники как случайно, так и целенаправленно передают за пределы родной организации чаще всего следующие сведения:

• Документы, характеризующие финансовое состояние и планы организации (финансовые отчеты, различная бухгалтерская документация, бизнес-планы, договора и т.д.);
• Персональные данные клиентов и сотрудников организации;
• Технологические и конструкторские разработки, ноу-хау компании и т.п.;
• Внутренние документы (служебные записки, аудиозаписи совещаний, презентации «только для сотрудников» и т.д.);
• Технические сведения, необходимые для несанкционированного доступа в сеть организации третьих лиц (логины и пароли, сведения об используемых средствах защиты и т.п.);

Как видите, интересы инсайдеров — сотрудников, незаконно распространяющих закрытую информацию, к которой они имеют доступ, —; достаточно широки. Во многом то, какая информация интересует конкретного инсайдера, зависит от того, для чего он в будущем собирается эту информацию применить. То есть, к примеру, как правило, инсайдеры, «купленные» конкурентами, больше интересуются бизнес-планами, клиентами и ноу-хау, в то время как сотрудники, желающие отомстить начальству, которое, по их мнению, несправедливо с ними обошлось, более склонны обнародовать документы, которые могут характеризовать в неприглядном свете это начальство или саму компанию (например, жалобы клиентов, записи с совещаний, написанные с ошибками письма в адрес сотрудников и пр.).

Каким именно образом страдает компания от утечек информации в финансовом аспекте, и всякая ли утечка несет за собой денежные последствия? Само собой, утечки информации, в результате которых, например, конкуренты получают доступ к новейшим разработкам компании, несут очень тяжелые последствия для нее, поскольку в результате таких утечек все средства, затраченные на R&D (Research & Development), оказываются фактически подаренными конкурентам. Утечки финансовой документации, особенно в те моменты, когда компания находится, скажем так, не в лучшей форме, также вполне предсказуемо могут нести за собой очень тяжелые последствия, вплоть до банкротства.

На первый взгляд может показаться, что некоторые утечки вполне безвредны, например, те же утечки персональных данных. Но, как показывает практика, именно они становятся наиболее частой причиной убытков компаний из-за утечек информации. Убытки компания получает вследствие судебных исков, предъявляемых пострадавшими из-за утечек физическими лицами, чьи персональные данные подверглись компрометации, а также от штрафов регулирующих органов, занимающихся защитой персональных данных на государственном уровне. В России пока что проблема штрафов не так актуальна, как в западных странах, где даже крупнейшие компании становятся героями новостей о штрафах за утечку персональных данных клиентов или сотрудников. Но уже всего через полгода ситуация в России должна радикально измениться в связи со вступлением в полную силу закона «О персональных данных».

Аналогичным образом приводят к убыткам и утечки внутренних данных, например, тех же служебных записок и презентаций. К прямым убыткам в виде штрафов или компенсаций они, конечно, не ведут, но могут серьезно навредить репутации компании, допустившей подобные утечки. А испорченная репутация автоматически означает упущенную выгоду, поскольку ряд потенциальных клиентов или партнеров могут изменить свои предпочтения в выборе между несколькими конкурирующими компаниями, и причиной подобных изменений может служить как информация, ставшая публичной в результате утечки, так и сам факт подобной утечки конфиденциальных данных.

Таким образом, можно говорить о том, что любая утечка информации несет в себе те или иные негативные экономические последствия для компании. С этим мнением согласны и представители индустрии информационной безопасности, говорящие о том, что безобидных утечек данных не бывает — любая из них несет в себе ущерб для бизнеса, если не сейчас, то в будущем. «Иногда достаточно трудно предсказать, где и когда «выстрелят» те документы, которые инсайдеры вынесли из вашего офиса сегодня, считает Лев Матвеев, генеральный директор компании SearchInform — Бывает, что проходит несколько месяцев, или даже несколько лет, прежде чем информация сделает свое черное дело, попавшись, например, на глаза журналистам или конкурентам. Именно поэтому очень важно защищать данные комплексно, а не делить их на более важные и менее важные. Информация, не предназначенная для публики, должна оставаться закрытой. А значит ее следует защитить от возможных утечек».

Каким образом можно оценить возможный ущерб от утечки конфиденциальных данных? Для начала необходимо свериться со списком возможных источников ущерба:

• Упущенная выгода в результате испорченного имиджа;
• Штрафы со стороны регуляторов;
• Компенсации по судебным искам;
• Снижение котировок акций (для акционерных компаний) в результате попадания на рынок инсайдерской информации;
• Прямые убытки: стоимость разработки технологических решений, стоимость проигранных в результате утечек данных тендеров и т.д.

Каждая утечка информации «ставит галочку» напротив как минимум одного из перечисленных выше пунктов, наиболее серьезные же утечки способны «преподнести» компании весь этот список. Соответственно, общая сумма ущерба от каждой конкретной утечки информации складывается из «цены» каждого источника ущерба.

Конечно, не для всех перечисленных пунктов подсчитать возможную стоимость ущерба достаточно просто. Если, к примеру, штрафы со стороны регуляторов или стоимость технологических разработок подсчитать не так уж сложно, то предсказать, как поведет себя рынок ценных бумаг в ответ на обнародованные инсайдерами документы, или сколько клиентов отвернутся от компании в результате ухудшившейся репутации, практически невозможно. Поэтому в своих оценках лучше не придерживаться оптимистической позиции «все обойдется», а закладывать в «бюджет» утечки максимально возможную сумму ущерба. К сожалению, достоверных исследований, которые показывали бы среднюю стоимость утечки информации в России, пока нет, однако можно ориентироваться на данные для других стран, которые вряд ли будут существенно отличаться от данных для России.

Так, согласно исследованиям Ponemon Institute, средняя стоимость утечки информации для фирм в Великобритании в 2008 г. составила 1,7 млн фунтов, то есть почти 80 миллионов российских рублей. Еще одна цифра: в среднем убытки при потере служебного ноутбука составляют почти 50 тыс. долларов – такие данные были получены после опроса представителей 29 организаций, которые пережили 138 отдельных случаев потери ноубтуков их постоянными или временными сотрудниками, пишет Руформатор со ссылкой на PCWorld. Такая сумма получена с помощью учета семи различных факторов: цены самого ноутбука, определения потерянных данных, экспертизы и расследования обстоятельств потери, сообщения об утечке данных и действий по смягчению последствий инцидента, потери интеллектуальной собственности, потери производительности, а также других юридических и нормативных затрат.

Эксперты также подсчитали, что чем быстрее компания реагирует на утрату компьютера, тем меньшие потери она несет. Если потерю ноутбука удалось обнаружить в тот же день, то затраты могут составить в среднем лишь 8 950 долларов. Спустя неделю они могут достичь уже 115 849 долларов.

Шифрование данных приводит к существенному снижению финансовых потерь при утрате компьютера. Так, если информация на жестком диске ноутбука была зашифрована, потеря обходится в 37 443 долларов, если нет, — то в 56 165 долларов.

Наконец, финансовые потери напрямую зависят от того, какую должность в компании занимает человек, потерявший компьютер или лишившийся его в результате кражи. Наибольшей ценностью обладает ноутбук не высшего должностного лица компании, а директора или менеджера. Потеря ноутбука топ-менеджером обходится в среднем в 28 449 долларов, но если его потеряли директор или менеджер, сумма возрастает до 60 781 долларов и 61 040 долларов соответственно.

Это свидетельствует о высоком уровне риска для корпоративных сетей, потому что доступ к сайтам для взрослых, поиск работы на подозрительных ресурсах и другие виды нецелевого использования рабочих ноутбуков могут привести к серьезным утечкам информации, а иногда и к проникновению вредоносного ПО в сеть организации.

Для чего оценивать возможный ущерб от утечек информации? Прежде всего, для того, чтобы понять, какую цену в действительности имеет конфиденциальная информация, которой обладает организация, а также оценить выгоду от внедрения средств защиты от утечек информации (например, DLP-систем — от английского Data Leak Prevention, предотвращение утечек данных). Выгода, конечно же, есть, когда стоимость возможных утечек хотя бы в 2 раза превышает стоимость внедрения подобной системы. Как показывает практика, для подавляющего большинства компаний внедрение DLP-системы действительно целесообразно.

В условиях развития рыночных отношений возрастает риск, связанный со стремлением конкурентов завладеть современными технологиями, ноу-хау и другой ценной информацией, представляющей коммерческую тайну. Факт получения такой информации может нанести серьезный ущерб организации ;

Каналами распространения являются средства обмена информацией между субъектами деловых и личных отношений, которые целесообразно разделить на формальные и неформальные (в соответствии с рисунком 2).

Рисунок 2 - Каналы возможной утечки информации, составляющей коммерческую тайну

К формальным относятся деловые встречи, совещания, переговоры; обмен официальными документами (договорами, технической документацией); средства передачи официальной информации (почта, телефон, телеграф, факс, компьютерные сети и т.д.).

К неформальным следует отнести: личное общение; выставки, семинары, конференции, презентации; средства массовой информации (газеты, радио, телевидение, интервью) ;

Источниками разглашения коммерческой информации, составляющей коммерческую тайну, являются: люди, документы, публикации, реклама, технические носители, технические средства обеспечения производственной и трудовой деятельности, в том числе - вычислительная техника, продукция, промышленные и производственные отходы.

Действия, приводящие к незаконному овладению коммерческой информацией, включают следующие направления:

• - разглашение информации;
• - утечка;
• - несанкционированный доступ (рисунок 3).

Способами разглашения коммерческой тайны могут быть:

• - сообщение, передача, предоставление ее лицам, не допущенным к ней;
• - пересылка;
• - публикации (открытые и закрытые);
• - утеря;
• - разглашение на конференциях, переговорах, симпозиумах и др.

Утечка коммерческой тайны - неправомерный выход охраняемых сведений за пределы организации, предприятия или круга лиц, которым она была доверена .

Утечку сведений, составляющих коммерческую тайну, необходимо рассматривать как неправомерный выход (устным, письменным или иным путем) подобной информации от конкретного сотрудника фирмы, которому эта информация была доведена либо стала известна по службе или работе. Переход к конкуренту сведений, составляющих коммерческую тайну, от лица, которому они были доведены по роду его работы, может быть осуществлен в результате нарушения этим лицом правил обращения сними, либо в результате вынужденных официальных действий представителей фирмы, связанных с необходимостью осуществлять производственные, научно-технические, коммерческие и иные операции организации .

Переходя к анализу носителей информации, можно выделить четыре их основных вида:

• 1. человек;
• 2. документ;
• 3. изделие (предмет, материал);
• 4. процесс .

Такое разделение носителей информации произведено по принципу их функционального назначения. защита коммерческий тайна информация

Человек в этом ряду занимает особое место. Он в процессе интеллектуальной деятельности производит новые знания и создает новые носители информации. Он же является и потребителем информации, и пользователем других ее носителей.

Документ отличает то, что его функциональное назначение целиком исчерпывается свойством носителя информации. В период своего существования документ проходит определенные этапы: составление и оформление, размножение, пересылка, использование, хранение, уничтожение. в настоящее время известны документы на бумажных носителях, на микроформах, на магнитных носителях, на перфоносителях и т.п.

Изделие обладает свойством носителя информации в качестве вспомогательного побочного эффекта, который воспринимается непосредственно человеком или специальными устройствами. Основное функциональное назначение изделия заключается в удовлетворении других неинформационных потребностей общества.

Процесс же как носитель информации обладает свойствами, присущими как документу, так и изделию. Например, радиосвязь, осуществляется по средствам радиоволн, предназначена специально для приема-передачи информации. В месте с тем, в силу объективных законов распространение в пространстве, информацию, переносимую ими, может кроме потребителя, кому она непосредственно предназначена, получить ваш конкурент, имеющий в распоряжении технические средства для ее перехвата .

Способы несанкционированного доступа представлены на рисунке 4.

Социологические опросы свидетельствуют, что среди способов незаконного овладения коммерческой тайной первое место занимает подкуп сотрудников, т.е. человеческий фактор. Далее следует шпионаж: копирование документов, проникновение в базы данных, кража документов, подслушивание .

Рисунок 4 - Способы несанкционированного доступа к коммерческой тайне

В настоящее время очень широко используются технические средства проникновения, что требует специальных мер защиты.

Виды каналов и источников утечки конфиденциальной информации на предприятии, установленные законодательством Республике Беларусь, приведены в Приложении «Источники и каналы утечки конфиденциальной информации».

Источники конфиденциальной информации (каналы утечки информации), угрозы безопасности конфиденциальной информации, источники угроз, цели и способы реализации угроз

Конфиденциальная информация, циркулирующая на предприятии, играет важную роль в его функционировании. Под конфиденциальной информацией понимают документированную информацию, доступ к которой ограничен законодательством Российской Федерации. Соответственно, эти данные могут стать объектом интереса злоумышленников. Поэтому необходимо создавать условия, при которых возможность утечки конфиденциальной информации будет минимизирована.

Утечка - это бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она была доверена. Утечка информации может осуществляться по различным каналам. Каналом утечки информации называют канал коммуникации, позволяющий процессу передавать информацию путем, нарушающим безопасность системы. Утечка информации может происходить в трех формах:

• разглашение информации;
• утечка по техническим каналам;
• несанкционированный доступ к информации.

Все каналы проникновения в систему и каналы утечки информации подразделяют на прямые и косвенные. Под косвенными каналами понимают такие каналы, использование которых не требует проникновения в помещения, где расположены компоненты системы (например, утеря носителей информации, дистанционное прослушивание, перехват ПЭМИ). Для использования прямых каналов необходимо проникновение (это могут быть действия инсайдеров, несанкционированное копирование и т.д.).

Утечка конфиденциальной информации может произойти при наличии интереса к ней у организации-конкурента, а также при наличии условий, позволяющих злоумышленнику овладеть информацией.

Возникновение таких условий возможно как при случайном стечении обстоятельств, так и при умышленных действиях противника. Основными источниками конфиденциальной информации являются:

• персонал предприятия, допущенный к конфиденциальной информации;
• материальные носители конфиденциальной информации (документы, изделия);
• технические средства, осуществляющие хранение и обработку конфиденциальной информации;
• средства коммуникации, используемые в целях передачи конфиденциальной информации;
• передаваемые по каналам связи сообщения, содержащие конфиденциальную информацию.

Следовательно, конфиденциальная информация может стать доступна третьим лицам в результате:

• утери или неправильного уничтожения документа на каком-либо носителе, пакета с документами, конфиденциальных записей;
• невыполнения работником требований по защите конфиденциальной информации;
• излишней разговорчивости персонала в местах общего пользования;
• работ с конфиденциальной информацией в присутствии посторонних лиц;
• несанкционированной передачи конфиденциальной информации другому работнику;
• отсутствия грифов секретности на документах, нанесения маркировки на носителях.

В условиях жесткой конкуренции большое внимание организа- ций-конкурентов, конечно же, привлекает конфиденциальная информация. Ведь чем больше информации доступно, тем больше шансов найти уязвимости соперника. Поэтому каналы передачи и обмена конфиденциальной информации в процессе их функционирования могут быть подвергнуты атакам со стороны злоумышленников, что, в свою очередь, может привести к возникновению каналов утечки конфиденциальной информации.

В настоящее время активно используется сеть Интернет. Безусловно, Интернет предоставляет большие возможности и удобства, но он становится еще одной причиной возникновения утечки конфиденциальной информации. В большинстве случаев утечка происходит при неосторожном обращении с конфиденциальной информацией при ее передаче или публикации на сайтах. Большая часть инцидентов приходится на электронную почту. Следующим по опасности каналом утечки конфиденциальной информации являются системы общения (в основном IM-клиенты и Skype). Также сейчас особую популярность приобрели социальные сети, в которых стало возможно не только обмениваться сообщениями, но и публиковать файлы, которые после этого могут стать достоянием большого количества пользователей. И конечно, интернет-канал может быть подвергнут хакерской атаке, что также представляет большую опасность.

Существуют специальные технические средства, которые позволяют получить информацию без непосредственного контакта с персоналом, документами, базами данных. При их использовании возникают технические каналы утечки информации. Под техническим каналом утечки информации принято понимать физический путь от источника конфиденциальной информации к злоумышленнику, посредством которого последний может получить доступ к охраняемым сведениям. Для образования технического канала утечки информации необходимы определенные пространственные, энергетические и временные условия, а также наличие на стороне злоумышленника соответствующей аппаратуры приема, обработки и фиксации информации. Основными техническими каналами утечки информации являются электромагнитный, электрический, акустический, визуально-оптический и др. Такие каналы прогнозируемы и прерываются стандартными средствами противодействия.

К основным угрозам конфиденциальной информации относятся разглашение, утечка, несанкционированный доступ. Под угрозой безопасности конфиденциальной информации понимают совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и (или) несанкционированными и (или) непреднамеренными воздействиями на нее.

Результатом противоправных действий может стать нарушение конфиденциальности, достоверности, полноты информации, что, в свою очередь, может нанести материальный ущерб организации.

Все угрозы конфиденциальной информации по отношению к объекту можно разделить на внутренние и внешние. Внутренними нарушителями могут стать администрация, сотрудники предприятия, имеющие доступ к информационной системе, персонал, обслуживающий здание. Источниками внешних угроз являются клиенты, посетители, представители конкурентных организаций, лица, нарушившие пропускной режим предприятия, а также любые лица, находящиеся за пределами контролируемой территории.

Статистика показывает, что большинство угроз совершается собственными сотрудниками организации, в то время как доля внешних угроз сравнительно мала (рис. 3.26).

Рис. 3.26. Статистика угроз информационной безопасности

Самыми частыми и опасными по размерам ущерба являются непреднамеренные ошибки пользователей информационных систем. Особую опасность представляют «обиженные сотрудники», действия которых связаны с желанием нанести вред организации. Таковыми могут оказаться как нынешние, так и бывшие сотрудники. Поэтому необходимо следить за тем, чтобы при увольнении сотрудника его доступ к информационным ресурсам прекратился.

Стихийные источники угроз весьма разнообразны и непредсказуемы. Возникновение подобных источников сложно предусмотреть и им тяжело противодействовать. К ним относятся пожары, землетрясения, ураганы, наводнения и другие природные катаклизмы. Наступление таких событий может привести к нарушению функционирования предприятия и, соответственно, к нарушению обеспечения безопасности информации в организации.

Для защиты информации, хранимой в компьютере, необходимо использовать программные и аппаратные средства защиты. Рекомендуется использовать такие типы программных средств защиты персонального компьютера:

• средства, обеспечивающие защиту от несанкционированного доступа в компьютер;
• средства защиты диска от несанкционированных записей и чтения;
• средства контроля за обращениями к диску;
• средства удаления остатков секретной информации.

Основными мерами по предотвращению НСД к ПК являются

физическая защита ПК и носителей информации, аутентификация пользователей, разграничение доступа к защищаемой информации, криптографическая защита, регистрация обращений к защищаемой информации. Так как существует вероятность заражения компьютера вирусами, не стоит забывать оснастить каждый ПК специальными противовирусными программами.

При обработке конфиденциальной информации в информационных системах предприятий возникает вероятность ее утечки. Утечка конфиденциальной информации может нанести серьезный материальный ущерб. Поэтому необходимо принимать меры по ее предотвращению. Для этого следует проанализировать все возможные источники и угрозы и в соответствии с этим принимать решение о комплексном применении средств защиты информации.

Михаил Башлыков, руководитель направления информационной безопасности компании КРОК

На современном этапе развития общества информация является таким же активом компании, как ее продукты и услуги, технологии и процессы, финансовые и трудовые ресурсы. Во многих компаниях большая часть информации хранится и обрабатывается в электронном виде. Конечно, это в разы повышает удобство работы и скорость взаимодействия, а также позволяет автоматизировать бизнес-процессы и т.п. Однако риски, связанные с нарушением установленного статуса информации (конфиденциальность, целостность, доступность), растут пропорционально выгоде.

ПРЕДОТВРАЩЕНИЕ утечки информации по сути своей является обеспечением одного из неотъемлемых ее свойств - конфиденциальности. Разглашение конфиденциальной информации приводит к прямым материальным убыткам, потере интеллектуальной собственности, снижению репутации организации и уровня доверия клиентов и партнеров. Кроме того, увеличивается риск финансовой ответственности компании за нарушение правовых норм, регулирующих процессы обработки конфиденциальных данных. В большинстве случаев предотвратить утечку и сократить риски нарушения конфиденциальности только техническими средствами или только организационными методами невозможно - необходим комплексный подход. Каждый владелец информации должен уметь ответить на следующие вопросы: где хранятся конфиденциальные данные, кто имеет к ним доступ, кем и как они используются, куда перемещаются?

Подходы к выбору решения и технологий защиты

Наилучшим техническим вариантом для предотвращения утечки данных является применение систем класса DLP (Data Loss/Leakage Prevention). Они контролируют все наиболее вероятные каналы утечки (электронная почта, Интернет, съемные носители, печать, мгновенный обмен сообщениями (IM) и др.), позволяют идентифицировать информацию самыми современными способами, что обеспечивает наименьшее количество ложных срабатываний.

Также для обеспечения конфиденциальности информации используются системы класса IRM (Information Right Management). В данном случае защита осуществляется на уровне контента, то есть защищается сама информация, например внутри электронного письма или документа, и становится доступной только тем сотрудникам, которым доступ разрешен политикой безопасности.

Кроме перечисленных, существуют точечные решения по защите от утечки (например, контроль только съемных носителей или только мобильных устройств). Они могут оправдать себя в случае, если в компании остро стоит проблема одного-двух определенных каналов утечки. Данные решения, как правило, не осуществляют анализ самой информации, защита идет исключительно на уровне разграничения доступа к определенным устройствам и портам, что не так удобно и гибко. И в будущем, в случае появления потребности в комплексной защите от утечки, издержки, связанные с интеграцией ранее внедренных решений по контролю отдельных каналов, неприятно удивят.

Однако не стоит забывать о других методах, используемых инсайдерами для разглашения конфиденциальной информации, таких как фотографирование экрана монитора, переписывание на бумажный носитель и пр. Системы DLP, IRM и другие технические средства здесь бессильны, но на помощь приходят организационные мероприятия - обучение сотрудников, создание корпоративной культуры информационной безопасности и т.п.

Системы класса DLP

Остановимся подробнее на системах DLP. Понятие DLP (Data Loss/Leakage Prevention -предотвращение утечки информации) появилось достаточно давно и характеризует системы подобного класса. Изначально это маркетинговое название, которое придумали производители подобных систем. Поэтому есть некоторая путаница в терминологии: например, система шифрования жестких дисков также обеспечивает конфиденциальность хранящейся информации, то есть предотвращает утечку этой информации, но никто не называет системы шифрования системами DLP. Или, например, если почтовый сервер просто умеет фильтровать исходящие письма и в зависимости от наличия в них ключевых слов принимает решение об отправке письма вовне, можно ли назвать такое решение системой DLP? Думаю, нет.

Современная система класса DLP представляет собой техническое решение, которое в совокупности с организационными методами (регламенты, руководства, политики, отчетность, обучение сотрудников) обеспечивает комплексную защиту от утечки информации. Система обладает следующими основными характеристиками:

• контролирует практически все технические каналы утечки из информационной системы;
• имеет возможности поиска информации в информационной системе (файловые хранилища, базы данных, системы документооборота и т.п.);
• обладает единым интерфейсом управления с возможностями ролевого разграничения доступа;
• может в режиме реального времени реагировать на возникающие инциденты и применять автоматизированные правила (заблокировать, перенести в карантин, уведомить офицера ИБ и т.п.);
• обладает мощными и гибкими средствами построения и представления отчетности по возникающим инцидентам;
• умеет распознавать информацию несколькими способами (ключевые слова, цифровые отпечатки, типы файлов и т.п.).

На данный момент на российском рынке представлено достаточное количество производителей систем DLP, рынок относительно молодой и, несмотря на кризис, продолжает расти. При построении решения по защите от утечки информации мы используем продукты лидеров - Symantec, Websense, RSA, которые отлично зарекомендовали себя и имеют богатый опыт инсталляций по всему миру. Данные производители имеют четкий план развития продуктов, понимают потребности и специфику рынка. Выбор продукта на стадии проектирования в первую очередь зависит от потребностей заказчика и особенностей существующей у него инфраструктуры.

Реализация системы DLP. Опыт и подход КРОК

Построение системы предотвращения утечки является комплексным проектом, в котором могут быть задействованы как технические специалисты и аудиторы, так и представители бизнес-подразделений заказчика. В целом этапы проекта можно разбить на две составляющие: организационная часть и техническая.

К организационной части можно отнести следующие основные этапы:

• аудит текущего состояния информационной системы и информационных потоков, вероятных каналов утечки;
• определение и классификация информационных активов;
• выделение наиболее критичных из них с точки зрения обеспечения конфиденциальности (коммерческая тайна, персональные данные, интеллектуальная собственность и т.п.), определение роли и места данных активов в бизнес-процессах компании, а также возможных последствий их разглашения;
• разработка политик обработки защищаемых информационных активов;
• разработка методов реагирования на инциденты;
• разработка программы обучения сотрудников технологиям работы с системой и правилам работы с конфиденциальной информацией.

Основные этапы технической части:

• выбор продукта, на основе которого будет реализовано решение;
• проектирование системы, разработка руководств, инструкций и регламентов;
• реализация системы, интеграция с существующей IT-ин-фраструктурой;
• реализация разработанных правил и политик.

На основе опыта компании КРОК по внедрению DLP-систем могу отметить, что успех проекта и эффективная отдача от внедрения системы во многом зависят от следующих факторов:

• заинтересованность обеих сторон в качественном результате, постоянное взаимодействие и слаженность работы проектной команды с представителями заказчика;
• поэтапное внедрение системы, начиная с работы в пассивном режиме (только аудит инцидентов) с дальнейшим переходом на блокирование запрещенных действий (такой подход не позволит резко нарушить существующие привычные процессы обработки информации, даже если они неверны);
• опыт проектной команды по внедрению инфраструктурных решений (корпоративная почта, доступ в Интернет и др.), без которого просто невозможна интеграция системы DLP;
• опыт проведения аудита информационной системы, разработки сопроводительной и отчетной документации;
• опыт эффективного обучения сотрудников, эксплуатирующих систему, а также обучение пользователей работе с конфиденциальной информацией.

В заключение хотелось бы добавить, что само по себе внедрение системы DLP не является панацеей и мгновенной защитой от всех внутренних угроз, связанных с нарушением конфиденциальности. Действующая система позволяет исключить практически все возможности случайной утечки информации (например, информация лежит в открытом доступе на файловом сервере, сотрудник не знал, что информация конфиденциальная и пытался отправить ее знакомому). А в совокупности с такими методами защиты, как шифрование информации, разграничение доступа, аудит и мониторинг событий ИБ, организационно-правовыми методами она существенно затруднит осуществление умышленной кражи конфиденциальной информации.

В конце июня американский исследовательский центр ITRC (Identity Theft Resource Center) опубликовал сведения об утечках информации за первую половину нынешнего года. По данным ITRC, за этот период на территории США случились 336 публичных утечек информации, а общее количество пострадавших достигло отметки 17 млн человек.

Частота, с которой происходят утечки информации, растет невероятно быстро: только за последние три годаона увеличилась практически в четыре раза (рис. 1). С каждым годом утечки информации становятся все более значимой проблемой безопасности, а борьба с ними - idee fixe специалистов в этой области. Однако, чтобы эффективно справляться с утечками, необходимо прежде всего знать, каким образом они происходят и какие инструменты существуют для борьбы с ними.

Рис. 1. Количество публичных утечек информации,
зафиксированных на территории США
(источник: ITRC, Perimetrix, 2008)

В качестве исходных данных для изучения проблемы был выбран отчет компании Perimetrix, опубликованный по итогам I квартала нынешнего года. В рамках подготовки отчета специалисты Perimetrix собрали и проанализировали информацию о сотне различных инцидентов, которые произошли в разных уголках земного шара. Полученной статистике вполне можно доверять, поскольку все рассмотренные инциденты имели место в реальных организациях.

На рис. 2 представлено распределение утечек по основным типам их причин. Легко заметить, что на четыре основных типа утечек пришлось подавляющее большинство (84%) инцидентов, причем почти половина этой доли (40%) приходится на самую популярную угрозу - кражу носителя. В этой статье мы постараемся рассмотреть специфику каждой из обозначенных угроз, а также дать рекомендации по снижению их опасности.

Рис. 2. Распределение утечек по основным типам угроз
(источник: Perimetrix, 2008)

Кража носителя (40%)

Кража носителя наиболее распространенный тип инцидентов, которые происходят в результате кражи или потери различных цифровых носителей конфиденциальной информации. Большинство таких утечек случается из-за кражи ноутбуков, однако возможны и другие варианты (рис. 3). «В нашей практике встречались инциденты, причиной которых являлась кража флэшек, резервных магнитных лент, жестких дисков и даже устаревших дискет», - рассказывает директор по развитию компании Perimetrix Алексей Доля.

Рис. 3. Часто пропадающие носители информации
(источник: Perimetrix, 2008)

С точки зрения безопасности не важно, какой именно носитель похищен. Конечно, прочитать данные с ленты сложнее, чем вставить флэшку в USB-порт, однако злоумышленник, скорее всего, сможет решить эту проблему - было бы желание. Ущерб от утечки мало зависит от типа используемого носителя, однако защищать требуется каждый из них.

Сегодня существует несколько способов минимизировать риски подобных утечек. Самый элементарный из них - ограничение использования мобильных носителей - неэффективен с точки зрения бизнеса. К тому же он не позволяет избежать утечек, связанных с кражами офисного оборудования.

Второй способ предполагает контроль движения конфиденциальной информации и тоже не защищает от «офисных» утечек. Полноценную защиту дает лишь обязательное шифрование всех секретных сведений, причем не только на мобильных носителях, но и в местах стационарного хранения. Отдельно подчеркнем, что все остальные способы защиты (например, разнообразные пароли и биометрия) без шифрования малоэффективны.

По данным Perimetrix, большинство носителей пропадают из офисных помещений, а не из домов тех или иных сотрудников (рис. 4). Таким образом, организациям имеет смысл усилить физическую безопасность офисов, не забывая при этом о шифровании информации.

Рис. 4. Место пропажи оборудования
(источник: Perimetrix, 2008)

Обилие утечек из офисов еще раз показывает, что шифровать надо не только ноутбуки и прочие мобильные устройства, но и другие стационарные носители конфиденциальной информации. Конечно, незаметно украсть лэптоп значительно проще, чем вынести какой-нибудь сервер, однако такой риск тоже вероятен.

Почти треть (29%) зарегистрированных инцидентов связана с утечками на транспорте: кражами из грузовиков, угоном автомобилей с ноутбуками и другими подобными случаями. Эксперты Perimetrix отмечают, что «транспортные» утечки специфичны - в большинстве случаев услуги по перевозке накопителей осуществляют сторонние организации, которые крайне трудно проконтролировать. Впрочем, то же самое шифрование позволяет минимизировать риски и «транспортных» утечек.

Хакерская атака (15%)

В эту обширную группу инцидентов попадают все утечки, которые произошли вследствие внешнего вторжения. Для вторжения может использоваться любая технология атаки, будь то установка вредоносного ПО, взлом уязвимостей, SQL-инъекции и т.д. Главное отличие хакерской атаки от всех остальных типов - она происходит с участием внешних лиц, которые предпринимают какие-то активные действия. Отметим, что доступ к конфиденциальным сведениям совсем не обязательно является основной целью атаки. Но если он был каким-то образом получен - значит утечка произошла.

Наверное, полностью защититься от хакерской угрозы сегодня не может ни одна организация. Мы рассматриваем данный термин в самом широком смысле, а значит, единого средства защиты не существует в принципе.

В целом доля «внешних», или «хакерских», утечек оказалась меньше, чем ожидалось изначально. Большинство компаний, разрабатывающих решения по безопасности, постоянно говорят о том, что хакеры становятся все более профессиональными и стремятся получить доступ к информации, а не отформатировать жесткий диск пользователя. По мнению аналитиков Perimetrix, эта угроза несколько преувеличена, хотя она, безусловно, имеет место быть. Возможно, не слишком высокая доля хакерских вторжений отчасти объясняется еще и тем, что сами вторжения стали незаметнее.

Справедливости ради отметим, что наиболее масштабные инциденты (например, знаменитая утечка TJX) зачастую происходят именно вследствие внешних вторжений. Однако утечки миллионного масштаба происходят редко и делать какие-либо выводы из единичных случаев неверно.

Инсайд (15%)

К данной категории относятся инциденты, причиной которых стали действия сотрудников, имевших легальный доступ к конфиденциальной информации. Все зарегистрированные инсайдерские инциденты разделились на две примерно равные части:

• сотрудник не имел доступа к сведениям, однако сумел обойти системы безопасности;
• инсайдер имел доступ к информации и вынес ее за пределы организации.

Отличным примером инсайдера первого типа является бывший сотрудник Societe Generale Жером Кервьель, имя которого не сходит с заголовков газет вот уже несколько месяцев подряд. Напомним, что 31-летний трейдер разорил банк на 5 млрд евро, торгуя фьючерсами на европейские фондовые индексы. Даже далекому от банковской сферы человеку очевидно, что у рядового трейдера не могло быть прав на открытие биржевых позиций объемом в 50 млрд евро, однако Кервьель умудрился это сделать.

Вскоре после освобождения из тюрьмы
Жером Кервьель устроился на работу
в компанию LCA, которая специализируется
на… информационной безопасности

39-летний Дуайт МакФерсон
работал агентом пресвитерианского
госпиталя в Бруклине (Нью-Йорк).
Инсайдер занимался торговлей персональной
информацией с 2006 года, и на его компьютере
было найдено 50 тыс. секретных записей.
За один номер социального страхования
МакФерсон просил всего 75 центов

Впрочем, наибольшую опасность несут инсайдеры второго типа, имеющие легальный доступ к конфиденциальным сведениям. Несмотря на отсутствие точных данных, аналитики Perimetrix убеждены, что большая часть инцидентов такого рода остается за пределами общественного внимания. Более того, о таких инсайдерах часто не знают даже их собственные работодатели.

Веб-утечка (14%)

В данную категорию попадают все утечки, связанные с публикацией конфиденциальных сведений в общедоступных местах. В большинстве случаев таким местом является Глобальная сеть (отсюда название - веб-утечка), однако встречаются и аналогичные утечки в интранете. Бывают и весьма экзотические вариации на ту же тему - например ошибочная рассылка паролей для доступа партнерам.

Подавляющее большинство веб-утечек происходит из-за ошибок или неосведомленности персонала. С неосведомленностью можно бороться путем обучения, однако полностью избежать ошибок не может никто. Задача абсолютной защиты от веб-утечек весьма сложна - она предполагает классификацию всех секретных сведений и контроль их размещения на веб-серверах либо хостах корпоративной сети и требует внедрения специальных систем защиты.

Независимо от конкретного типа веб-утечки ее ключевой характеристикой остается длительность публикации приватных данных в Глобальной или корпоративной сети. Очевидно, что чем дольше хранятся эти данные, тем выше риск их компрометации. На рис. 5 приведено распределение зафиксированных веб-утечек в зависимости от их длительности.

Рис. 5. Длительность веб-утечек
(источник: Perimetrix, 2008)

Результаты анализа показали, что только четверть (23%) веб-утечек обнаруживается в течение месяца или быстрее. А более половины (58%) инцидентов длится более года. С учетом развития поисковых технологий такие результаты вызывают весьма серьезные опасения, поскольку для компрометации сведений в Интернете достаточно нескольких часов.

Огромное количество утечек, которые длятся длительное время, означает, что большинство компаний не проводят регулярный мониторинг информации, хранящейся на их веб-ресурсах. Действительно, если бы подобный мониторинг проводился хотя бы раз в год, утечки обнаруживались бы быстрее. Как правило, веб-утечки всплывают абсолютно случайно, благодаря внимательности рядовых посетителей сайта, сумевших обнаружить приватную информацию.

Бумажная утечка (9%)

Данная категория сумела набрать существенную долю в общем объеме инцидентов. По определению бумажной утечкой является любая утечка, которая произошла в результате печати конфиденциальных сведений на бумажных носителях.

В отличие от всех остальных инцидентов, «бумажные» имеют менее значительные последствия по крайне банальной причине - бумага теоретически не может вместить в себя много конфиденциальной информации. Аналитический центр Perimetrix не зафиксировал ни одной бумажной утечки, в результате которой пострадало бы более 10 тыс. человек. Вместе с тем контролировать подобные инциденты все-таки необходимо, поскольку даже небольшая утечка может иметь серьезные материальные последствия.

Основной способ борьбы с бумажными инцидентами заключается в контроле печатающейся информации - практика показывает, что в большинстве случаев достаточно хранить конфиденциальные сведения в электронном виде. Если же печать необходима - требуется обеспечить безопасность документов во время перевозки или пересылки. Большинство зафиксированных инцидентов произошли именно таким образом: конфиденциальные бумаги попросту терялись в пути.

Первый квартал 2008 года вскрыл еще одну интересную проблему, касающуюся именно бумажных утечек. Ее причиной стал, как ни странно, ипотечный кризис в США, который поставил на грань разорения тысячи различных организаций. Оказалось, что компании-банкроты часто выбрасывают в мусор бумаги, которые в более благополучные времена требовались для ведения бизнеса. Аналитический центр Perimetrix зафиксировал сразу три инцидента такого рода.

Главная трудность здесь заключается в том, что за утечку никто не отвечает, поскольку допустившая ее компания обанкротилась и прекратила свою деятельность. Как бороться с подобной угрозой, до сих пор не слишком понятно.

Другое (7%)

Оставшиеся 7% утечек имели самые разнообразные и зачастую весьма экзотические причины. В качестве примера можно привести утечку в банке HSBC, которая произошла из-за того, что одно из отделений забыло закрыться на выходные. В данную категорию попадают инциденты, точную причину которых установить не удалось, а также утечки, о которых стало известно постфактум, после использования персональных сведений в незаконных целях.

Заключение: такие разные утечки

Утечки бывают очень разными. В данной статье они разделены на пять основных групп в зависимости от причины возникновения. Однако в рамках одной причины может существовать множество различных аспектов. Защититься от всех угроз разом, скорее всего, не получится - эта задача требует непрерывных инвестиций в информационную безопасность и огромного желания со стороны руководства.

Второй концептуальной сложностью защиты является отсутствие единых комплексных систем, которые смогли бы обеспечить защиту для всех возможных вариантов утечки. Большинство решений, которые принадлежат к современному классу DLP, способны обеспечить лишь защиту от инсайда и некоторых типов веб-утечек, причем с довольно низкой вероятностью. Как следствие, заказчикам приходится приобретать дополнительные продукты для шифрования, что весьма неудобно, невыгодно и, прямо скажем, неестественно.