Анализ коммуникаций — красная таблетка для офицера внутренней безопасности
Узнать большеНи одна организация не застрахована от утечки конфиденциальных данных — ситуации, когда доступ к информации получают третьи лица. Риски однозначно снижаются при условии эффективной системы защиты, однако полностью исключить их все равно нельзя. Если утечка произошла, важно как можно быстрее устранить ее последствия, найти виновных и минимизировать ущерб. Рассказываем, как поступать в таких случаях и какие инструменты использовать для контроля трафика и сотрудников в целях предотвращения инцидентов.
Чем опасна утечка конфиденциальных данных
Последствия утечки зависят от того, какая информация была украдена. Например, утечка персональных данных приведет как минимум к потере репутации компании, а как максимум — к подаче коллективного иска от пострадавших сторон и серьезным штрафам.
Если утекут сведения о собственных наработках компании или внутренних рабочих процессах, организацию ждут упущенная выгода или значительный финансовый ущерб. Особенно при условии, что данные попадут к конкурентам, которые воспользуются ими в своих целях.
Способы утечки конфиденциальных данных компании
Причиной утечки часто становится персонал организации. Достаточно распространены случаи, когда сотрудники-инсайдеры намеренно передают данные хакерам или конкурентам. Подобным образом могут поступить как действующие работники, так и уже уволенные, у которых остался доступ к важным сведениям.
Сотрудник может стать источником утечки и без злого умысла, а по невнимательности, от незнания основ кибербезопасности. Например, информация нередко утекает после того, как работники открывают подозрительные ссылки из электронных писем, посещают сомнительные сайты или путают адресатов при отправке данных. Еще один фактор риска — халатное отношение к хранению атрибутов учетных записей. Если пароль приклеен к монитору на стикере или записан в блокнот, им может воспользоваться кто-то другой — и получить доступ к уязвимым данным.
Еще несколько причин и каналов утечки:
- Сотрудничество с другими компаниями в рамках отдельных проектов. В таких случаях сотрудникам службы ИБ сложнее контролировать соблюдение политик безопасности, поскольку у каждой организации они свои.
- Сложная информационная инфраструктура, которая подразумевает наличие нескольких администраторов. Чем больше сотрудников с расширенным набором полномочий, тем выше риск утечки конфиденциальных данных.
- Сбои в работе программного обеспечения или серверного оборудования. Любые неполадки — серьезная уязвимость, которой могут воспользоваться хакеры. К тому же, после сбоев данные часто теряются, и далеко не всегда есть возможность их восстановить.
- Кибератака на организацию. Например, внедрение вредоносного ПО, собирающего данные (чаще всего кейлогеров), перехват информации в движении, социальная инженерия и т.д. У мошенников много рабочих схем, позволяющих подобраться к защищенным данным.
- Утечка по физическим каналам: речевому (например, с помощью использования «прослушки» в кабинете для совещаний), электромагнитному (путем считывания сигналов между аппаратными компонентами информационной инфраструктуры), визуальному (подглядывание за происходящим в офисе компании).
И самый банальный, но очень распространенный способ утечки — обсуждение рабочих моментов с третьими лицами. После таких разговоров нет гарантий, что важные данные не попадут к конкурентам или в открытый доступ.
Как предотвратить утечку данных
Важно выстроить защиту как от внутренних (по вине персонала), так и от внешних утечек (когда данные ворует кто-то извне). Сначала поговорим о мерах профилактики внешних:
- Использование сложных паролей, которые сложно угадать или подобрать, их надежное хранение, регулярная смена.
- Многофакторная аутентификация в корпоративных системах. Помимо пароля для входа должны запрашиваться одноразовые коды, токены или биометрические характеристики.
- Внедрение базовых инструментов защиты: антивируса, межсетевого экрана, системы предотвращения вторжений и др.
- Установка СКУД — систем контроля и управления доступом к физическим объектам. Они помогут предотвратить вторжение посторонних на территорию организации.
- Резервное копирование важных файлов, чтобы быстро восстановить доступ к ним после сбоев в системе или кибератак.
- Шифрование информации с целью предотвращения утечки конфиденциальных данных путем перехвата сведений в движении. Даже если информация попадет в третьи руки, злоумышленникам придется сначала расшифровать ее, что не так просто.
Перейдем к способам защиты от внутренних утечек:
- Введение NDA (Non-disclosure agreement) — договора о неразглашении коммерческой тайны с четкими указаниями, какие именно сведения к ней относятся. В этом документе следует также прописать меры ответственности за нарушение условий.
- Выдача сотрудникам только тех полномочий в информационной инфраструктуре, которые необходимы им для выполнения рабочих задач. Также необходима настройка уровней доступа к важной документации.
- Мотивация персонала. Например, новыми целями, повышением зарплаты и т. д. Чем комфортнее сотрудникам трудиться в компании, тем меньше шансов, что они по своей воле пойдут на нарушения. Также не надо исключать проведение разъяснительной и образовательной работы с сотрудниками;
- Внедрение DLP-системы — решения класса Data Loss Prevention для отслеживания и предотвращения попыток передачи конфиденциальных данных третьим лицам.
DLP-системы удовлетворяют потребности любых организаций, но особенно они важны для крупных компаний, которые обрабатывают впечатляющие массивы данных и располагают большим штатом сотрудников. Ключевой инструмент решений этого класса — специальные модули-перехватчики, фиксирующие трафик, пользовательские действия и другие события в системе. Вся собранная информация анализируется на предмет соответствия политикам безопасности, благодаря чему оперативно выявляются нарушения.
Что делать, если произошла утечка конфиденциальных данных
В первую очередь важно понять, какие данные были скомпрометированы и по каким каналам, оценить ущерб. Затем следует установить источник инцидента. Если в информационную инфраструктуру проникли злоумышленники, следует остановить их активность: отключиться от глобальной сети, отозвать удаленный доступ, сменить пароли. Только после этого можно приступать к восстановлению рабочих процессов.
Если есть подозрение на внутренние нарушения, важно как можно скорее обнаружить виновного, для чего проводится расследование с подготовкой доказательной базы. В этом как раз и помогут DLP-системы, поскольку они способны фиксировать действия и коммуникации пользователей на рабочих станциях и в информационной инфраструктуре предприятия.
Чтобы сохранить репутацию, в случае утечки данных, следует предупредить клиентов и партнеров о произошедшем инциденте. В некоторых случаях приходится оповещать и уполномоченные государственные органы.
Solar Dozor для защиты от утечки конфиденциальных данных
Solar Dozor относится к классу российских DLP-решений корпоративного класса, предназначенных для предотвращения утечек конфиденциальных данных, расследования инцидентов. У продукта три ключевых направления работы: защита от утечек, проведение расследований, выявление мошенничества. Они включают в себя в том числе и:
- Контроль облачных и локальных хранилищ данных
- Контроль потенциальных каналов утечек (в частности, мессенджеров и веб-приложений, USB и печати)
- Выявление инцидентов постфактум
- Поведенческий анализ (UBA)
- Построение графа коммуникаций
- Запись звука с микрофона рабочей станции и видео с экрана монитора сотрудника
- Создание «досье» на каждого работника
- Формирование архива коммуникаций для быстрого расследования инцидентов с возможностью его перефильтрации
- Развитые функции инцидент-менеджмента по стандарту ISO 27001 и ISO 18044 и удобную ролевую модель
- Способность эффективно работать в геораспределенном режиме за счет поддержки филиальной сети предприятия
В нашем решении реализована, например, технология DiFi (Digital fingerprints), которая умеет сравнивать документы с заранее выверенным эталоном. Технология позволяет распознать трансформацию информации, выявить скопированные и отредактированные файлы. Еще два полезных инструмента — краулер, который обнаруживает нарушения правил хранения информации, и технология IDiD (ID identification), выявляющая в тексте идентификаторы конфиденциальных данных.
В Solar Dozor заложено два сценария реагирования на нарушения — немедленная блокировка потенциальной утечки или отправка уведомлений ответственным лицам или пользователю. Выбор сценария зависит от уровня и характера угрозы.
Заключение
Защита обрабатываемой информации (финансовой, персональной, коммерческой) — прямая обязанность каждой компании. Если знать, как предотвратить утечку, можно значительно снизить риски и повысить общий уровень безопасности. Важную роль в системе комплексной защиты играют DLP-системы, которые помогают не только обнаружить подозрительные действия, но и установить их источник, что позволяет быстрее справиться с последствиями инцидента. Высокопроизводительное решение Solar Dozor с модулем поведенческого анализа (UBA) — отличный пример российского ПО, ставшего достойной альтернативой зарубежным продуктам.
