Технології захисту від внутрішніх порушників

Захист від витоків інформації.
У сучасному бізнесі ключовою перевагою є володіння необхідною інформацією. Багато керівників звикли враховувати не тільки матеріальні активи, забуваючи про нематеріальні, невідчутні. Той, хто зможе добре проаналізувати і скористатися інформацією швидше інших, буде мати незаперечну конкурентну перевагу. Однак дана перевага можна легко втратити, втративши саму важливу інформацію.
Як показує практика, в більшості випадків найбільш простий канал її отримання – це легальний користувач, внутрішній порушник. Заходи, необхідні для нейтралізації такої загрози, діляться на технічні й організаційно-правові.
Технічні заходи
Порушник, має легальний доступ до корпоративної мережі, може винести інформацію за межі периметра багатьма способами, наприклад такими як:
• Копіювання на знімний носій(flash-пам’ять,DVD і т. п.)
• Пересилання по електронній пошті (у т. ч. web-поштою)
• Передача файлу через сторонній ресурс (файлообмінник, форум в Інтернеті і т. д.)
• Надсилання текстового фрагмента за допомогою IM
• Друк на папері та винос за межі установи (контрольованої зони)
• Візуальний знімання інформації (у т. ч. з використанням технічних засобів)
У кожному випадку порушник має легальний (обумовлений його службовими обов’язками) доступ до інформації. Заборонити доступ неможливо, сам факт доступу також не є порушенням. Тому перед службою інформаційної безпеки постає проблема інтерпретації та аналізу дій користувача. І тут на допомогу може прийти система запобігання витоку даних (data loss prevention – DLP).
У найпростішому випадку критична інформація є просто набором файлів. Тоді для збереження її конфіденційності можна використовувати практично будь-який з наявних DLP рішень – практично всі ці рішення перехоплюють всі можливі способи розкрадання інформації. Єдиною перешкодою може стати використання екзотичних форматів файлів (для аналізу вмісту файлу продукт повинен «знати» його формат).
Існує два основні різновиди DLP рішень за способом роботи:
• Агентські рішення (коли на робочі станції співробітників встановлюється спеціальний агент);
• Рішення, які працюють на вузлі обміну інформацією (наприклад, шлюзі доступу в інтернет).
Переваги агентських рішень полягають у тому, що перекриваються всі шляхи розкрадання інформації, включаючи переносні носії і ті програми-комунікатори, які використовують шифрування трафіку (наприклад, skype). Разом з тим, такий спосіб не позбавлений недоліків – на машині користувача необхідно формувати довірену середовище (інакше агент буде просто вивантажений зловмисником). Крім того, агенти існують майже виключно під операційні системи Microsoft, що підходить не всім.
У DLP рішень, що працюють на вузлі обміну інформацією є інші недоліки – неможливо «на льоту» розбирати зашифрований трафік і (наприклад, трафік skype можливо контролювати тільки агентськими DLP) доведеться або приймати цей ризик, або застосовувати інші заходи (в тому числі і суто організаційні) до заборони таких повідомлень. Також таке DLP – рішення, очевидно, не в змозі контролювати використання флеш-дисків і подібних носіїв інформації.
У разі використання агентського DLP рішення, службі ІБ необхідно скласти перелік конфіденційної інформації і місць її зберігання і встановити відповідне ПЗ на робочі станції співробітників. У разі якщо використовуються всі типи файлів підтримуються продуктом, вони будуть проіндексовані і всі дії по копіюванню (в тому числі і через буфер обміну) будуть контролюватися. Після цього «простими» діями як-небудь викрасти інформацію не вдасться.
Однак можна сформулювати достатня кількість сценаріїв, які буде застосовувати внутрішній порушник для обходу агентського DLP рішення, наприклад:
• Масове копіювання важливих файлів на робочу станцію з подальшою архівацією;
• Компіляція файлу, що містить важливу інформацію з багатьох інших джерел.
Пошук подібних сценаріїв можна продовжити, але головна причина витоку полягає в тому, що користувач має легальний доступ до конфіденційної інформації і заборонити доступ неможливо. Приховування застосовуваних методів захисту (і використовуваних рішень в тому числі) не можна визнати доброю практикою, тому можна вважати, що порушник знає можливості і недоліки засобів захисту інформації.
Таким чином, для якісного запобігання витоків інформації необхідно застосовувати й інші заходи. Однак DLP рішення незамінні при проведенні розслідувань – вони дозволяють контролювати дії користувачів та виявляти підозрілу активність (наприклад, копіювання великих фрагментів файлів через буфер обміну). В якості інших технічних заходів можна застосовувати системи записів користувача (аж до запису всього, що відбувається на екрані), програми тіньового копіювання (коли реєструються всі дані, передані через переносні носії) та інші способи фіксації дій (аж до записів системи відеоспостереження). Правда, треба зауважити, що деякі DLP-рішення можуть даний функціонал підключати у вигляді додаткових модулів.
Адміністратор безпеки, маючи зібрану такими засобами інформацію, може відновити точну послідовність дій передбачуваного порушника і довести або спростувати факт крадіжки інформації. Застосування перелічених заходів окремо швидше за все результату не дасть, так як наскрізний аналіз будь-якої системи реєстрації вкрай трудомісткий. Конкретизувати часовий відрізок і підозрюваного користувача можна за допомогою DLP-системи.
Разом з тим, застосування лише такої системи також серйозно ускладнює життя потенційному порушнику (особливо якщо він не є професіоналом у сфері ІТ).
Також DLP допомагає запобігти витоку інформації з необережності користувач отримає додаткове попередження про те, що передана ним інформація носить конфіденційний характер і йому доведеться підтвердити необхідність передачі. Сам факт того, що дії користувача контролюються, є сильним стримуючим фактором для більшості потенційних порушників.
Організаційні та правові заходи
Уявімо собі ситуацію, коли факт крадіжки конфіденційної інформації став відомим і винуватець викритий. Виникає питання – яким чином можливо його покарати?
У разі якщо викрадена інформація є конфіденційною термінах законодавства РФ (наприклад, є персональними даними або комерційною таємницею), винуватця можна притягнути до відповідальності за нормами Закону.
Однак більша частина критичною для бізнесу інформації законом не охороняється, і керівництву організації доводиться придумувати заходи впливу в рамках організації. У разі якщо формальних посадових інструкцій у частині забезпечення ІБ, політик безпеки і т. п. в організації не оформлено, виявляється, що покарати порушника фактично дуже проблематично. Зрозуміло, велика частина викритих у такому порушенні людей захоче добровільно покинути фірму, проте у випадку великої організації така ситуація неприйнятна.
Загальноприйнятим рішенням проблеми правового захисту критичної інформації є написання внутрішніх нормативних документів, що визначають процеси забезпечення ІБ в організації:
• Політика безпеки (що визначає як загальний підхід до захисту інформації, так і конкретні важливі напрямки);
• Посадові обов’язки працівників, які мають доступ до критичної інформації (тоді розголошення такої інформації буде посадовим порушенням і з’явиться можливість покарати порушника, залишаючись в рамках законодавства);
• Доповнення до посадових інструкцій представника вищого керівництва компанії, який курирує питання ІБ (практика показує, що таким куратором повинен бути працівник не нижче першого заступника керівника організації).
У разі наявності повного комплекту внутрішніх регламентів, за результатами службового розслідування порушник понесе покарання, а роботодавець, зі свого боку, не ризикує порушити трудове законодавство.
Однак необхідно пам’ятати, що деякі дії працівників підрозділу інформаційної безпеки можуть виходити не тільки за рамки трудового законодавства. Саме тому як при впровадженні систем запобігання витоків і розробки керівних документів, так і при розслідуванні інцидентів необхідна серйозна допомога юристів компанії.
Висновок
Проблема захисту від внутрішніх порушників вкрай складна в дозволі. У складних ситуаціях (наприклад, якщо на організацію проводитися спланована атака конкурентів) знадобиться напруження всіх сил служб ІБ організації, так і юридичної служби і вищого керівництва компанії. Організація при цьому проходить перевірку на міцність як в частині технічної інфраструктури, так і (навіть більшою мірою) у частині морального клімату всередині колективу. Мало кому сподобається бути об’єктом розслідування і піддаватися розпитувань служби безпеки.
Зусилля служб ІБ повинні бути спрямовані в рівній мірі, як на виявлення фактів витоку, так і на збір доказів причетності працівників до цих витоків. Ситуація коли і винний у витоку не знайдений, і робота організації порушена нервозністю в колективі більш ніж реальна.
Грамотне застосування технічних засобів боротьби з внутрішніми порушниками укупі з правовими способами захисту інформації багаторазово підвищать ефективність роботи в кризовій ситуації і дозволять вийти з неї з мінімально можливими втратами.
Керуючий партнер компанії Pointlane
Корольов Олексій
Примітки:
DLP-системи
Захист від витоків інформації