3 Июня, 2015

Утечка, которой могло не быть

СёрчИнформ
Первого июня «Интерфакс-Поволжье» сообщило о том, что сотрудник Башкирской таможни стал фигурантом уголовного дела о неправомерном доступе и копировании персональной информации об участниках внешнеэкономической деятельности и сотрудниках ведомства. Используя служебные полномочия, указанный сотрудник незаконно скопировал на флешку базы персональных данных участников внешнеэкономической деятельности, сотрудников таможни, а также информационных баз таможенных процедур, работа с которыми не входила в круг его обязанностей.

Конечно, похвально, что в отличие от многих подобных случаев, не попадающих на глаза широкой общественности, «герой» этого инцидента был пойман с поличным и теперь является подозреваемым по ч.1 ст.272 УК РФ (неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло ее копирование). Однако сколько организаций в России сегодня не имеют никакой информации о том, что происходит с принадлежащими им корпоративными данными, потому что у них отсутствуют «цифровые глаза и уши» ‑ система мониторинга и предотвращения утечек данных, или попросту DLP?

На примере «Контура информационной безопасности SearchInform» и случившейся на Башкирской таможне утечки информации продемонстрируем все преимущества, которые получает компания, имеющая в своем распоряжении DLP-систему, перед теми организациями, где её нет.

С помощью компонента «Контура информационной безопасности SearchInform» SearchInform DeviceSniffer можно было бы вовсе отключить возможность для сотрудников таможни пользоваться внешними носителями данных, в т.ч. флешками, на рабочем месте. Если этот вариант является слишком радикальным (конечно же является, с ума что ли сошли все флешки отключить), можно было бы запретить все носители, кроме доверенных, или установить ограничение по доступу: к примеру, нельзя записывать на флешку файлы определённых форматов или определённых имён (вплоть до того, что можно было бы указать имена тех или иных документов, которые не подлежат распространению). Наконец, можно было бы установить шифрование записываемой на внешние носители данных информации. Тогда между рабочими станциями сотрудников с установленными агентами SearchInform DeviceSniffer существовал бы «туннель» для полностью прозрачного перемещения данных внутри организации, но при передаче носителя третьим лицам, те бы увидели только зашифрованные файлы.

Впрочем, DeviceSniffer не единственное решение, которое могло бы помочь зафиксировать упоминавшуюся выше утечку. С помощью SearchInform AlertCenter служба информационной безопасности могла бы выявить инцидент ещё на стадии его зарождения. В частности, используя поиск по статистическим запросам "Количество скопированных файлов на внешний носитель" либо "Объём информации, скопированной на внешний носитель". С помощью первого запроса можно создать автоматическое правило, которое будет выполняться по расписанию и генерировать уведомление, если количество скопированных на внешний носитель файлов превысит заданный порог (например, более 50 файлов) либо среднее значение (например, больше чем в 1,5 раза за последние 3 дня). Критерий, касающийся объёма информации можно настроить аналогично. Единственная разница – вместо файлов будут фигурировать мегабайты.

Кроме того, поисковые механизмы AlertCenter ( цифровые отпечатки, «поиск похожих» и т.д.) позволили бы оперативно обнаружить в исходящем потоке данных конфиденциальные документы, давая отделу ИБ возможность остановить утечку.

*Рекламные выводы*

Как видите, «Контур информационной безопасности SearchInform» является эффективным средством против неправомерных действий сотрудников, причем как в государственных, так и в коммерческих организациях. Компания, не имеющая подобных инструментов, обрекает себя на ущерб от действий собственного персонала, который во много раз превышает стоимость DLP-системы.