8 (800) 302-85-23

01.07.2024

Движение данных: все о движении потоков данных

Движение данных: все о движении потоков данных
Без драмы и ложных срабатываний: новый подход «Солара» к анализу open source

Вебинар

30 июля | 12:00 МСК

Без драмы и ложных срабатываний: новый подход «Солара» к анализу open source

Зарегистрироваться

Получить консультацию по Solar Dozor

Каждая компания располагает информацией той или иной степени конфиденциальности, обеспечивает ее защиту с помощью организационных мер и программно-технических средств. Особенно важна безопасность при движении данных, поскольку именно в эти моменты существенно повышаются риски перехвата третьими лицами, утечек. Рассказываем, что может угрожать корпоративным сведениям и какие инструменты помогут сохранить их конфиденциальность.

Виды движения данных в компании

Все сотрудники так или иначе взаимодействуют с корпоративными данными. Например, создают на рабочих компьютерах документы, изменяют и копируют файлы, перемещают сведения из одного хранилища в другое и обмениваются ими и т.д. Соответственно, происходит движение данных.

Типичный пример движения информации — отправка через электронную почту или мессенджеры. Чаще всего сотрудники действуют машинально, мало задумываясь о возможных рисках: не проверяют точность введенного адреса отправки, прикрепляют ошибочные файлы.

Также к видам движения данных можно отнести передачу распечатанных документов или отправку на съемные носители. При отсутствии должного контроля недобросовестные сотрудники легко украдут конфиденциальные сведения, поскольку такие действия сложнее отслеживать. Выручает видеонаблюдение, но, как правило, работники знают о нем и при желании могут обойти этот инструмент контроля.

Виды утечек данных в компании

Процесс движения данных всегда сопряжен с риском попадания сведений в третьи руки. Такие инциденты могут происходить из-за невнимательности или недобросовестности персонала, уязвимостей в информационных системах, слабой защиты и т.д.

Случайные утечки в процессе движения данных

Случайные утечки происходят по ошибке, невнимательности, неосторожности. Как правило, у инициаторов инцидента нет злого умысла и цели навредить компании. Пример: сотрудник отправляет сообщение с важным документом и неправильно указывает получателя, в результате чего сведения «уходят на сторону» или ошибочно прикрепляет файл с чувствительными данными к письму.

Случайные утечки также могут произойти, если сотрудник теряет USB-накопитель или ноутбук с важной информацией, выводит файлы на личные незащищенные ресурсы, обсуждает рабочие вопросы в личной переписке.

Умышленные утечки

Умышленными называются утечки, инициаторы которых осознают негативные последствия для организации и намеренно нарушают политики безопасности. Большинство таких инцидентов связано с персональной информацией: адресами, телефонами, фактами о сотрудниках и партнерах компании. Часто скомпрометированными оказываются учетные записи, с помощью которых сотрудники получают доступ к корпоративным ресурсам.

Умышленные утечки происходят по вине двух групп. Во-первых, это инсайдеры – сотрудники, имеющие доступ к чувствительной информации внутри организации. Во-вторых, киберпреступники за периметром компании, которые пользуются уязвимостями в информационных системах и просчетах в защите данных. Если в первой группе чаще всего мотивам является личная выгода, например, сотрудники перед увольнением зачастую забирают клиентские и партнерские базы компании и другие файлы, которые будут полезны на новом месте работы. То во второй группе зачастую целью являются требования выкупа и причинение вреда репутации компании.

Утечки по вине инсайдеров

Сотрудники, имеющие отношение к утечкам, называются внутренними нарушителями или инсайдерами, даже если инцидент произошел по ошибке. Но самая опасная категория работников представлена людьми, намеренно желающими навредить. Сложнее всего распознать злоумышленников, которые ведут себя нормально, маскируясь под ответственных дисциплинированных сотрудников. Раскрыть их умысел помогут мониторинг сетевой активности и коммуникаций персонала, анализ поведения пользователей за рабочими станциями.

Кто может быть инсайдером:

  • Сотрудники, которые имеют доступ к конфиденциальным сведениям и могут инициировать движение данных. В том числе это привилегированные пользователи с доступом к критически важной информации.
  • Работники, которые могут входить в помещения, где обрабатываются и хранятся конфиденциальные данные.
  • Лица (сотрудники компании или приходящие специалисты), обслуживающие оборудование, информационные системы и сети.
  • Доверенные лица, например, клиенты или партнеры.

То есть внутренними нарушителями могут стать те, у кого уже есть доступ к конфиденциальным сведениям или те, кто при необходимости легко его получит.

Инсайдеры могут быть корыстными, то есть инициирующими утечку во время движения данных с целью получить материальную выгоду и навредить компании, продав сведения или передав их конкурентам. Также выделяют равнодушных, легкомысленных и неосторожных внутренних нарушителей. Первым все равно, какие последствия ожидают организацию — им важна только выгода. К категории легкомысленных относят инсайдеров, которые могут попытаться унести свою работу при увольнении, скопировать конфиденциальные файлы, завладеть наработками, чтобы использовать их на новой должности. Небрежными называют нарушителей, не планирующих ничего плохого, но халатно относящихся к своим обязанностям. Обычно именно они становятся источниками утечек по неосторожности.

ответственность за утечку данных

Ответственность за утечку данных в компании

Утечки во время движения данных следует предотвращать, чтобы не наступили серьезные последствия для организации. Если инцидент все же произошел, возможны следующие виды ответственности:

  • Дисциплинарная — наказание, которое исходит от руководителя организации, где произошла утечка и направлено на виновника инцидента. Чаще всего это выговор или замечание, иногда увольнение. Такая ответственность наступает, если слив сведений не принес серьезных финансовых и репутационных потерь.
  • Гражданско-правовая — ответственность, которая наступает, если в процессе движения данных произошла утечка, повлекшая за собой серьезные последствия для субъектов информации.
  • Административная — ответственность, которая наступает, если инцидент с утечкой расследуется в суде. Уполномоченный орган может вынести предупреждение или назначить штраф.
  • Уголовная — ответственность, которая грозит за неправомерное раскрытие фактов личной и семейной жизни человека, слив данных, подпадающих под категорию государственной тайны. Выражается в виде крупных штрафов, исправительных работ или ограничения свободы.

Меры дисциплинарной ответственности диктуются статьями № 81, 90, 192 ТК РФ, гражданско-правовой — статьями №15 ТК РФ, №24 ФЗ №152. Административное наказание регулируется разными частями статьи №13.11 КоАП РФ. Меры ответственности уголовного характера прописаны в документах №137, 140, 272 УК РФ.

Как защитить движение данных в компании

Для предотвращения утечек и борьбы с внутренними нарушителями используются решения класса Data Leak Prevention (сокращенно — DLP). Это комплексные продукты, в которых реализовано несколько эффективных технологий защиты данных. Они направлены в первую очередь на мониторинг поведения пользователей и контроль всех используемых каналов передачи сведений. Пример отечественной DLP-системы — Solar Dozor. Разберемся, с помощью каких модулей продукт выполняет поставленные перед ним задачи.

Контроль каналов передачи информации

С помощью Solar Dozor можно осуществлять контроль электронной почты. Инструменты системы умеют анализировать переписку и искать в ней признаки конфиденциальных сведений. Если обнаружится несанкционированное движение данных, система заблокирует действие и просигнализирует о нарушении ответственным лицам.

Также система держит под контролем все используемые сотрудниками мессенджеры (WhatsApp, Viber, Telegram, Skype, Zoom и корпоративные продукты), локальные и облачные хранилища, социальные сети, веб-сервисы, буферы обмена.

Под контроль попадают съемные носители и принтеры. Внутренние злоумышленники могут попытаться украсть данные, распечатав их или скинув на флешку. DLP-решение позволяет обнаружить подозрительные действия и предотвратить утечку.

Модуль File Crawler наводит порядок в содержимом локальных машин и сетевых ресурсов. Он выявляет нарушения правил хранения конфиденциальной информации и может автоматически перемещать файлы не на своем месте в карантин и заменяет их заглушкой.

Еще одна полезная функция системы — возможность рефильтрации архива для выявления ранее пропущенных инцидентов. С ее помощью можно установить, какие именно данные утекли, по каким каналам, кто был инициатором.

С помощью каких технологий система контролирует движение данных и обнаруживает признаки утечки:

  • ID identification — алгоритм распознавания идентификаторов корпоративной информации в тексте.
  • Digital fingerprints — технология, которая подразумевает снятие отпечатков с документов разных форматов и их хранение в базе данных системы. Передаваемая информация сравнивается с этими эталонами, благодаря чему выявляются случаи несанкционированного перемещения корпоративных файлов.
  • OCR предотвращает передачу текста в графическом формате. Например, сотрудник-инсайдер может отсканировать или сфотографировать документ и попытаться переслать его в таком виде. OCR распознает текст даже в искаженном изображении и DLP-система предотвратит утечку данных.
  • Распознавание графических шаблонов обеспечивает возможность контроля движения данных в графических форматах: паспортов, печатей, платежных карт и т.д..

Резюмируем — ни одна операция, которую можно отнести к движению данных, не останется без внимания DLP-системы. К тому же, решение может быть развернуто в геораспределенной филиальной сети и без проблем интегрируется с другими инструментами обеспечения безопасности. Например, системами контроля доступа к конфиденциальной информации, межсетевыми экранами нового поколения и т.д.

защита данных компании

Маршрут движения данных

Solar Dozor умеет визуализировать маршрут документа – отслеживать распространение информации по различным каналам от одного участника коммуникации к другому.

Отчет содержит информацию о сообщении, об отправителе и адресах назначения, в том числе внешних получателях, съемных носителях, принтерах, сетевых ресурсах и т.д. – и подсвечивает уровень критичности связанных с сообщением событий безопасности. Это позволяет быстро устанавливать источник, участников и пути утечки важной информации.

Контроль действий пользователей

В Solar Dozor реализованы две уникальные технологии — User Behavior Analytics (сокращенно — UBA) и «Досье». Первая позволяет анализировать поведение сотрудников по различным паттернам, например, «потенциальные инсайдеры». Технология помогает исследовать типичные действия, накапливать сведения и затем сравнивать с ними дальнейшую активность.

Вторая технология позволяет контролировать движение данных путем накопления информации о сетевой активности сотрудников. Офицеры службы безопасности будут знать, какие сайты посещал тот или иной работник, с кем он коммуницировал, какие действия с данными выполнял.

Благодаря этим технологиям есть возможность формировать группы особого контроля, в которые могут входить сотрудники, уже нарушавшие регламенты компании, готовящиеся на увольнение, демонстрировавшие нетипичное поведение. Офицеры службы безопасности фокусируют внимание именно на этих людях, отслеживая их действия и предупреждая инциденты.

Также система Solar Dozor позволяет вести трансляцию рабочих экранов сотрудников и записывать звук. Ответственные за безопасность лица смогут увидеть, чем занят персонал в рабочее время, каким образом организовано движение данных, соблюдаются ли алгоритмы взаимодействия с информацией. А еще записи будут служить доказательством причастности тех или иных лиц к произошедшим внутри компании инцидентам.

контроль действий пользователей 

ЗАКЛЮЧЕНИЕ

Движение данных важно контролировать, чтобы избегать кражи и утечек информации. Базовых средств безопасности (например, межсетевых экранов) недостаточно, чтобы свести к минимуму риски инцидентов. В контуре информационной безопасности крупных компаний должны присутствовать многомодульные DLP-системы, способные контролировать цепочки коммуникаций персонала и отслеживать перемещения информации. С этими задачами справится отечественный продукт Solar Dozor. Защита с его помощью выстраивается с фокусом на людях, что позволяет держать под контролем человеческий фактор – главную причину утечек. Также система отслеживает движение данных по различным каналам и формирует детальные отчеты, благодаря которым офицеры службы безопасности будут в курсе происходящих внутри компании событий и смогут предотвращать и оперативно расследовать инциденты.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Информационная безопасность предприятий: средства и способы ее обеспечения

Информационная безопасность предприятий: средства и способы ее обеспечения

Узнать больше
Утечка данных: причины и последствия утечки данных, как предотвратить утечку

Утечка данных: причины и последствия утечки данных, как предотвратить утечку

Узнать больше
Ретроспективный анализ: что это такое и когда применяется

Ретроспективный анализ: что это такое и когда применяется

Узнать больше
Расследование инцидентов информационной безопасности

Расследование инцидентов информационной безопасности

Узнать больше
Оборотные штрафы за утечки персональных данных

Оборотные штрафы за утечки персональных данных

Узнать больше
Охрана коммерческой информации в банках с помощью DLP

Охрана коммерческой информации в банках с помощью DLP

Узнать больше
Мониторинг деятельности сотрудников: как организовать и внедрить

Мониторинг деятельности сотрудников: как организовать и внедрить

Узнать больше

Для получения бесплатной консультации заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.