Практика обнаружения и расследования утечек информации

С обнаружением утечки информации и расследованием подобных инцидентов отлично справляются DLP-системы. Мы в Solar Dozor решили рассмотреть несколько распространенных примеров использования таких решений в типовых ситуациях, с которыми может столкнуться практически любая компания. Практические примеры и ситуации из реальной жизни помогут вам лучше разобраться с возможностями и особенностями систем предотвращения утечек информации, чтобы сделать вывод о целесообразности внедрения решения.

Пресечение потери информации через увольняющихся сотрудников

Практика показывает, что примерно в каждом втором случае увольнения сотрудник уносит с собой важную для компании информацию. Более чем в 52% случаев такие действия происходят более чем за месяц до даты увольнения. Поэтому действия для обнаружения утечки информации должны предприниматься в непрерывном режиме.

С помощью Solar Dozor реализовать это на практике не сложно. Этому способствует модуль UBA, который позволяет обнаружить признаки подготовки сотрудника к увольнению и вовремя применить меры к усилению контроля за ним. В эффективном тандеме с UBA работает модуль мониторинга информации на компьютерах и в хранилищах. При обнаружении фактов загрузки большого количества файлов на съемные носители или отправки по каналам связи формируется оповещение специалиста по информационной безопасности о возможном нарушении.

Примерно по схожему сценарию происходит на практике предотвращение потери данных через увольняющихся сотрудников в большинстве случаев.

Расследование махинаций сотрудников, крупных и не очень

Рассмотрим случай из практики компании, использующей Solar Dozor. Один из сотрудников предоставил в электронном виде справку о том, что он сдавал кровь в качестве донора. На основе ее необходимо было предоставить человеку больничный. DLP-система проинформировала специалиста по ИБ, что у справки есть признаки поддельного документа. В результате была инициирована проверка, в ходе которой выяснили, что учреждения, которое якобы выдало справку, не существует. Кроме того, с помощью DLP-системы Solar Dozor выяснилось следующее:

  • сотрудник искал в интернете информацию о том, где можно купить поддельные справки. Получить такие данные помог анализ поисковых запросов и трафика с помощью DLP;

  • работник купил и распечатал на рабочем принтере 2 билета на поезд, как раз на дату запрошенного больничного;

  • анализ переписки сотрудника с рабочего компьютера показал, что он общался с женой и высказывал намерение прогулять работу, продлив себе выходные, и съездить к родственникам.

В общем, казалось бы, мелкое и сложно обнаруживающееся нарушение, но DLP-система, как показала практика, смогла его выявить. От подобных махинаций не застрахована ни одна компания.

Частая практика недобросовестных работников, срывающих сроки выполнения задач, — инсценировка пропадания документов с рабочего компьютера как раз перед дедлайном. Опыт показывает, что с такими махинациями сталкиваются многие организации из различных сфер. DLP-система выявляет подобные махинации без проблем. В этом помогает функция сканирования рабочих станций, серверов и хранилищ с созданием архива цифровых коммуникаций и файлов. С ее помощью обнаружить удаление или изменение документов легко.

Своеобразная «классика жанра» — манипуляции с переработками и получение за это сверхурочных. С подобным сталкиваются многие компании. Практика показывает, что такие ситуации с помощью DLP расследуются с большой долей успешности. Выявить подобные махинации можно с помощью модуля учета и контроля рабочего времени, а также путем анализа трафика, действий на рабочих станциях сотрудников. Такой функционал по умолчанию есть в любой современной системе предотвращения утечек.

Обнаружение утечек, возникающих по «классической схеме»

Еще один случай обнаружения утечки информации из реальной жизни. На топовую позицию в одну из компаний пригласили зарубежного специалиста. В одни прекрасный момент DLP-система зафиксировала, что документ, к которому прикреплена специальная метка, свидетельствующая о важности, был помещен в защищенный архив. У специалистов по информационной безопасности возник вопрос, к чему такие меры, если IT-инфраструктура организации и так надежно защищена? Далее система предотвращения утечек установила, что архив был загружен на съемный накопитель (USB-флешку). Сомнений в том, что была выявлена утечка важной информации, не осталось. И подобные случаи в практике компаний, использующих DLP-системы, не редки.

Постоянные проигрыши в тендерах: поиск причин

С ситуациями, когда, предоставив кажущиеся наиболее выгодными условия, компания проигрывает в тендере или конкурсе, сталкиваются многие. И часто все происходит примерно по схожему сценарию: конкурент в последний момент предлагает более выгодные условия, или резко меняет свое предложение. И практически во всех случаях можно говорить об утечке информации. Практика использования DLP-систем показывает, что в подобных случаях найти виновника реально. Решения по предотвращению утечек могут анализировать цифровой архив, помогают получать данные о связях сотрудников внутри компании, а также за пределами охраняемого информационного периметра и так далее. Этой информации в большинстве случаев достаточно, чтобы выявить источники и виновников утечек важной для компании информации. Многие компании решили такую проблему (а параллельно и некоторые другие) именно за счет внедрения систем предотвращения утечек.

Видно, что с расследованиями утечек информации и их предотвращением современные DLP-системы справляются довольно эффективно. Если у вас компания с более чем 100 единицами компьютерной техники, есть смысл подумать о внедрении такого решения.