21 Мая 2019 10:00 | 21 Мая 2019 10:00 | |

Поделиться

Закрыть периметр: как современные технологии пресекают утечки данных по вине сотрудников

«Ценность документов растет»

CNews: Согласно исследованиям, очень высокий процент утечек корпоративных данных происходит по вине сотрудников. Речь идет о 53% в мировом масштабе и 86% в России. Что происходит? Почему такие цифры?

Сергей Войнов: Стоит начать с того, что в Европе компании обязаны уведомлять государственные органы о случившейся утечке, в противном случае их ждут очень серьезные последствия. В России таких правил нет, поэтому, как мне кажется, статистика по миру вернее.

Удивляет сам тренд: больше половины утечек происходит именно по вине сотрудников. Тех людей, которым предприятие доверило свою информацию и которые при поступлении на работу подписывали документы о неразглашении этой информации. Но как наниматель может быть уверен, что работники действительно не будут разглашать секреты компании? Никак.

Утечки происходят потому, что есть спрос на информацию и есть возможность эту информацию безболезненно переправить заинтересованным лицам.

CNews: Как это происходит на практике? Приходит злоумышленник, обращается к сотруднику компании и говорит «слей мне информацию»?

Сергей Войнов: Здесь возможны варианты, ведь у злоумышленников, безусловно, богатый арсенал средств социальной инженерии. Так, можно просто подбросить красивую флешку, на которой будет файл с названием «Зарплаты руководителей предприятия». У кого-то из работников сыграет любопытство. Бывают утечки и без сторонних злоумышленников. Вопрос в том, почему они происходят?

CNews: Почему?

Сергей Войнов: Мы проводили исследование этой темы. С одной стороны, это, конечно, меркантильные мотивы с определенным заказом, конкурентная разведка и все в таком роде. С другой – некая тенденция, связанная с тем, что сотворил интернет с нынешним поколением. Произошла смена философии. Мы очень легко получаем информацию, очень легко ею делимся. Социальные сети оказали свое влияние, люди хотят как можно больше и интереснее говорить о своей жизни: «Посмотрите, какой я! Послушайте, что мне известно!». Такой человек видит интересную информацию и его распирает: «Я возьму и солью ее!» — просто для того, чтобы повысить собственную самооценку и подняться в глазах окружающих.

CNews: Меняется характер утечек?

Сергей Войнов: Да, в информационном пространстве стало слишком много фейков, поэтому требования к похищаемым данным серьезно повысились. Все нужно подтверждать конкретными документами. Если я вам сейчас нашепчу, что тиграм в клетке не докладывают мяса, вы мне ответите: «Очень интересно, я бы об этом написал, но где факты?». А если я показываю вам документ с нормой расходования мяса и конкретную ведомость выдачи мяса тому самому тигру, везде стоят подписи и печати — это уже совершенно другая история, подтвержденная документально. В таком контексте потери от утечек конкретных документов по сравнению с утечкой просто информации сильно разнятся.

«Как защитить информацию, за которой охотятся?»

CNews: Как бороться с утечками?

Сергей Войнов: Любая компания имеет информационно-вычислительную инфраструктуру, которую она контролирует и защищает от внешних проникновений. Для этого используется целый комплекс различных систем: межсетевые экраны, системы антивирусной защиты и прочее. То есть выстраивается некий забор, который защищает от угроз снаружи. Остается вопрос: надо ли охранять то, что внутри, от тех, кто уже внутри?

Для выполнения поставленных задач сотрудникам доверяют определенную информацию. Финансист видит финансы, юрист – юридические документы. А потом происходит утечка, и со специалиста по безопасности спрашивают: «Кто это сделал, и как это произошло?». А он не знает, потому что на предприятии к этой информации имеют доступ, допустим, 500 человек, а сами данные находятся в системе уже полтора года. И кто-то в течение этого промежутка времени либо проявил халатность, либо допустил утечку умышленно. Но узнать, кто именно, когда и откуда — не могут.

Вследствие этого развиваются средства контроля за действиями привилегированных пользователей и системных администраторов. Также есть решения класса DLP, которые отслеживают, куда и какой файл перемещался, и что в нем содержалось. Такие системы могут заблокировать конкретные действия пользователя, например, копирование определенного документа на флешку или отправку на внешний e-mail, при этом остальные действия запротоколировать и «подсветить» службе безопасности. Все держится на контроле. Люди, которые работают на предприятии, знают об этом.

CNews: Но когда знаешь, каковы правила — проще их обойти. Человек, который знает, что файл нельзя скопировать на флешку, легко переснимет его с экрана.

Сергей Войнов: Существует такая закономерность: если на информацию есть спрос и ее можно безнаказанно украсть — она будет украдена.

Когда все действия на компьютере контролируются DLP-системой, то остается визуализация, потому что все существующие системы контролируют только работу пользователей с электронными файлами. И возможности любой из них заканчиваются, когда мы открываем документ на экране или отправляем на печать. Распечатал, сфотографировал, все — информация перешла в аналоговый формат, ее больше никто не контролирует.

CNews: И отследить ее нельзя…

Сергей Войнов: Именно. Без каких-либо маркировок, артефактов или спецсимволов, документ анонимен. Его можно сфотографировать или снять копию и вынести из компании на бумажном носителе.

Наши клиенты приводили нам очень неприятные примеры подобных утечек.

CNews: Как в таком случае их защитить?

Сергей Войнов: Наш продукт ILD (Information Leaks Detection) как раз создан для контроля за утечками конфиденциальных документов. Идея в том, что каждый раз открывая файл, пользователь видит перед собой новую модифицированную копию, которую наша система сделала специально для него. Он видит обычный документ, но не может понять, в чем его отличие от оригинала. Вот, например, посмотрите, на кальках два документа. Визуально они ничем не отличаются. Не видно никаких спецсимволов или артефактов, которые дают понять, что этот документ сделан конкретно для вас. Теперь попробуйте наложить одну кальку на другую.

CNews: Что-то не так. Документы не совпадают в каких-то мелочах…

Сергей Войнов: Это именно то, что делает наша система. У вас не получится совместить кальки, на них всегда что-то будет отличаться. И это «что-то» незаметно для глаза, но машина точно знает, каким образом она изменила текст, знает, когда и кому она выдала эту конкретную копию. С одной страницы текста А4 мы можем сделать 27 000 копий для каждого человека на Земле – это 205 триллионов уникальных комбинаций.

CNews: А что меняется?

Сергей Войнов: В основе технологии лежит запатентованный алгоритм. Он меняет все, что есть на листе, вплоть до межстрочных и межбуквенных интервалов. При этом ничего не «плывет»: таблица остается таблицей, чертеж – чертежом, треугольник – треугольным. Если злоумышленник рвет распечатанный документ, то даже по одному клочку мы узнаем, на чьем мониторе он был когда-то открыт или кто отправил его на печать. Любой фрагмент, который можно прочитать — и мы гарантированно найдем, кто допустил утечку.

«Наше решение постоянно обрастает новыми идеями»

CNews: Каковы были предпосылки для разработки такой системы?

Сергей Войнов: Дело в том, что решение напрашивалось давно. В каком-то виде попытки решить такую задачу были еще в СССР: начиная с обязательных контрольных страниц, которые пропечатывались на печатной машинке перед ее продажей, и заканчивая спецшрифтами с битыми пикселями. В те времена это были практически ручные операции, которые требовали настоящей экспертизы. А сегодня, когда даже трудно себе представить мировой объем документов, количество утечек настолько возросло, что возник и колоссальный спрос на средство защиты. И он только возрастает.

При этом поначалу на рынке ИБ просто никто не знал о существовании класса решений, способных закрыть эту уязвимость. В то время мы бегали по разным компаниям и до всех доносили мысль, что если на предприятии есть необходимость в использовании DLP-системы, то ее обязательно нужно дополнять решением ILD, иначе это просто backdoor для утечек документов. Сегодня же большинству профессиональных CISO крупнейших предприятий такая связка решений представляется совершенно очевидной в комплексном наборе средств для защиты от утечек.

Именно поэтому у нас появилась широкая партнерская сеть, включая всех лидеров рынка ИБ в России. Предлагая своим заказчикам решения для любых задач ИБ, все больше партнеров включают в свой портфель нашу систему ILD.

CNews: Она легко интегрируется?

Сергей Войнов: Да, мы легко встраиваемся в инфраструктуру заказчика. Чаще всего — в систему электронного документооборота (СЭД). Сначала «подружились» с IBM Filenet, Documentum, Directum, Alfresco и другими решениями. После чего создали открытый REST API, который позволяет интегрировать нашу систему не только с любой СЭД и сервисами печати, но и с соседними системами ИБ, например, класса DLP или SIEM.

После интеграции для пользователя все становится совсем прозрачно, ведь в его обычных процессах ничего не меняется. Например, при работе в СЭДе он открывает какой-то документ, выполняет с ним привычные операции, при этом каждый раз, совершенно незаметно для себя, получает новую персонализированную копию.

CNews: Это самописное решение?

Сергей Войнов: Система полностью разработана нашей компанией. В ней используются open source библиотеки, но в основе — алгоритм, написанный разработчиками EveryTag.

CNews: Как происходит внедрение? Сколько времени оно занимает и насколько это трудоемко?

Сергей Войнов: Технически все достаточно просто, сложные настройки не требуются. В базовом варианте развертывание системы и ее интеграция с active directory занимает неделю, максимум. Все зависит от требований заказчика: где-то необходимо проводить консалтинговую работу, технический аудит, интеграцию с существующими системами, обучение пользователей и администраторов, разрабатывать и согласовывать проектную документацию. Если говорить о сроках в среднем, то я бы закладывал два месяца.

CNews: С кем вы работаете?

Сергей Войнов: Если говорить о партнерском сотрудничестве, то, мы активно расширяем нашу сеть. Уже с нами: Softline, Axoft, Информзащита, «ДиалогНаука», Angara Technologies, НЕТКОМ и еще более двадцати других компаний. И это не предел — мы открыты для работы со всеми профессиональными участниками рынка ИБ.

Что касается заказчиков, в основном — это крупные предприятия и ведомства, чьи потери от утечек конфиденциальных документов имеют широкий резонанс, существенные репутационные или финансовые потери. У нас представлены, пожалуй, все сегменты рынка: от крупных госструктур, энергетической и нефтяной отраслей до телекоммуникационного и банковского секторов. Эти организации работают с крайне чувствительной и крайне серьезной информацией.

Но надо понимать, что есть цена вопроса.

CNews: Высокая?

Сергей Войнов: Смотря что считать высокой ценой: если компания теряет сто миллионов на утечке, какая стоимость защиты от нее будет считаться высокой? Да, для небольших организаций наше решение может стоить дороже, чем возможные потери, но очевидно, что система нужна абсолютно всем, кто желает защитить свою информацию. Вот почему мы идем в сторону облачных решений и предоставления системы в качестве сервиса, при этом сохраняя enterprise решение для крупного бизнеса.

CNews: Вы планируете продавать ILD за рубежом?

Сергей Войнов: Не скрою, наши планы весьма амбициозны — экспансия в другие страны намечена на ближайшее время.

CNews: Есть ли там какие-то аналоги?

Сергей Войнов: Мы их не находили.

CNews: Какие дальнейшие перспективы вы видите?

Сергей Войнов: Приходя к заказчикам с рассказом о нашей системе, я ни разу не сталкивался с отсутствием интереса к ILD. В сегодняшних реалиях ожидать снижения утечек информации точно не приходится. Кроме того, существует масса вариантов применения разработанной нами технологии не только в рамках задач по обеспечению ИБ, но и в «мирных» целях. Система постоянно обрастает новыми функциями. Для нас важно создавать что-то новое, будоражить рынок. И у нас это получается!

Артур Галеев

Поделиться

Короткая ссылка