Задача № 1: Соответствие требованиям ругуляторов
Сегодня мы наблюдаем тенденцию, когда регуляторы при проверках, помимо «стандартных» средств защиты, требуют наличие инструментов, обеспечивающих реальную безопасность. К таким инструментам в первую очередь относятся решения класса DLP. Отметим, что здесь и далее в качестве DLP-инструмента мы будем рассматривать комплекс защиты от утечек информации «Дозор-Джет».
Например, любая российская компания, обрабатывающая персональные данные клиентов, должна соответствовать Федеральному закону ¹ 152 «О персональных данных». Одно из требований закона гласит, что оператор, обрабатывающий персданные, обязан принимать необходимые технические меры для их защиты от неправомерного доступа, копирования или распространения с помощью различных технологий обмена сообщениями (электронная почта, мессенджеры и т.п.). И его невыполнение обернется для организации крупными денежными штрафами.
Но существуют ситуации, когда пересылка персональных данных по открытым каналам оказывается частью бизнес-процесса компании, и их важно отличать от утечки. Так, электронная почта – обычный способ коммуникации между службой технической поддержки и клиентом, использующийся при решении различных вопросов. В этом случае в сообщениях неизбежно фигурируют персональные данные в открытом виде. Абсолютный запрет или блокировка таких сообщений невозможна, так как это неблагоприятно скажется на качестве клиентских сервисов компании. Но их бесконтрольное курсирование тоже недопустимо. Комплекс «Дозор-Джет» позволяет находить персональные данные в общем массиве сообщений.
Следующим шагом является уведомление офицера безопасности о факте несанкционированной передачи данных. Основанием для уведомления становится сообщение, отмеченное «Дозор-Джет» как содержащее персональные данные, количество которых превышает норму. Эту норму каждая компания может определять самостоятельно, настраивая соответствующие параметры. Например, более 1 или 2 различных ФИО и т.д.
Такой функционал комплекса используется и для выделения в информационном потоке других идентификаторов (номеров платежных карт, российских паспортов, БИК, ОКАТО, СНИЛС и др.). Это позволяет обеспечить соответствие требованиям и других регуляторов, таким как стандарт PCI DSS.
Задача № 2: Защита стратегически важной информации от утечки
В непрерывном контроле нуждаются все возможные каналы информационного обмена, так как стоимость утечки стратегически важной информации может оказаться чрезмерно высокой. В данном случае мы говорим о мониторинге сообщений корпоративной почты, веб-почты (mail.ru, gmail.com и др.), социальных сетей, различных интернет-пейджеров (ICQ, Mail.Ru Агент и др.) и других популярных каналов общения. Особый интерес представляют открытые веб-сервисы (специализированные порталы), предназначенные для отправки SMS-сообщений на мобильные телефоны.
Для чего нужен мониторинг? В качестве иллюстрации приведу пример из нашей практики: один из ведущих отечественных ритейлеров бытовой техники и электроники запланировал масштабную маркетинговую кампанию, на подготовку которой было затрачено более 1 млн долларов. Успешность кампании во многом зависела от её своевременности и новизны на рынке. Инсайдер использовал онлайн-сервис пересылки SMS-сообщения для передачи информации о маркетинговых планах компании-конкуренту. «Дозор-Джет» позволил службе ИБ вовремя увидеть это сообщение, и менеджмент ритейлера изменил планы таким образом, чтобы избежать возможных финансовых потерь.
Особого контроля требует перемещение внутри компании и за ее пределы договоров, служебных записок, внутренних приказов и других конфиденциальных документов, содержащих, например, информацию о планируемых структурных изменениях компании и предназначенных исключительно для топ-менеджмента. Их ценность безусловна, так как они часто содержат информацию о приоритетных направлениях развития бизнеса, и их разглашение может обернуться значительными потерями кадрового состава (в некоторых случаях отток кадров вследствие преждевременного разглашения информации о структурных изменениях составлял до 30%).
«Дозор-Джет» оповещает о появлении подобных документов на общедоступных файловых ресурсах и рабочих станциях сотрудников, не имеющих прав доступа к ним. Эти возможности обеспечиваются модулями инспектирования файловых ресурсов и цифровых отпечатков DIFI. Для каждого созданного конфиденциального документа автоматически строится его цифровой отпечаток. Так формируется база эталонов, которая может делиться на индивидуально настраиваемые группы: «финансовые», «для топ-менеджмента», «внутренние документы» и т.д. Все сообщения и файлы, анализируемые системой, сравниваются с созданной базой эталонов. При полном или частичном совпадении комплекс регистрирует инцидент в соответствии с настроенными политиками.
Еще одним возможным каналом утечки конфиденциальных документов являются съемные носители (внешние жесткие диски, флеш-карты и др.), подключаемые к рабочим станциям. Этот канал утечки значим не менее других в силу своей доступности: все, что нужно инсайдеру, – флешка или любой другой съемный носитель, на который можно скопировать необходимую информацию. Здесь можно вспомнить другой случай из нашей практики. Одно из долговых агентств смогло предотвратить утечку своей базы данных, содержащей личные карточки должников. В этом случае в игру вступил механизм контроля файлов, перемещаемых между компьютером и съемным носителем: создавались их теневые копии, которые затем отправлялись в центральную часть комплекса для дальнейшего анализа. Таким образом, «Дозор-Джет» выявил персональные данные в копируемых файлах и оповестил офицера ИБ о факте их несанкционированного копирования. В результате база данных не покинула пределы компании, а агентство избежало репутационных и финансовых рисков.
Задача № 3: Контроль нецелевого использования рабочего времени и лояльности сотрудников
Помимо решения прямых задач информационной безопасности компании при использовании системы класса DLP, офицеры ИБ могут помочь бизнесу своевременной оценкой общей картины информационного обмена и уровня занятости персонала, качества исполнения бизнес-процессов и лояльности сотрудников.
Повышение производительности подразделений, минимизация финансовых издержек, связанных с простоем бизнеса, оптимизация штата – организации, решая эти задачи, нередко сталкиваются с проблемой нецелевого использования сотрудниками рабочего времени. «Дозор-Джет» позволяет контролировать все каналы информационного обмена, в том числе относящиеся к категории развлекательных: социальные сети, интернет-пейджеры, Skype и пр. Комплекс учитывает возможность их использования и через анонимайзеры, благодаря применению метода сигнатурного анализа сообщений, основанного на анализе их структуры, а не адреса назначения. База сигнатур комплекса обновляется автоматически из облачного сервиса, поддерживаемого специализированным аналитическим центром нашей компании.
Важно учитывать, что некоторые сотрудники используют эти каналы связи в рабочих целях. Запрет доступа к ним может оказаться неприемлемым, а предоставление доступа ограниченному кругу лиц – не возможным с технологической точки зрения. К примеру, для более эффективной работы отделу продаж необходимо использовать Skype. Но если разрешить использование этого сервиса менеджерам по продажам, одновременно доступ к нему получат и все остальные сотрудники компании, а на ИБ-подразделение ляжет обязанность контроля всех коммуникаций через Skype. Удачное решение в этом случае – контроль контента, передаваемого сотрудниками, представляющими наибольший риск с точки зрения утечек информации.
В частности, модули контроля Skype, внедренные в одной из компаний, позволили выявить факт общения сотрудников с организацией-конкурентом и обнаружить передачу информации, являющейся коммерческой тайной. В этом конкретном случае была попытка передачи конкуренту клиентской базы с помощью Skype. «Дозор-Джет» позволил службе ИБ предотвратить потерю клиентов и выявить сговор с целью конкурентного шпионажа.
С точки зрения кадровой безопасности компании важно понимать уровень лояльности работников и своевременно получать информацию о его изменении. Например, один из сотрудников организации со своего рабочего места зашел на сайт, предназначенный для поиска работы, внес изменения в свое резюме: добавил новые сертификаты и обновил список реализованных им проектов. «Дозор-Джет» зафиксировал эти действия и направил офицеру безопасности соответствующее уведомление. Дальнейшая цепочка действий включила и информирование об инциденте кадровой службы, которая в итоге смогла выдвинуть сомневающемуся сотруднику взвешенное предложение. Это позволило организации сохранить ценного профессионала, избежать простоя бизнеса и затрат на поиски, адаптацию и обучение нового специалиста.
еще одним возможным каналом утечки конфиденциальных документов являются съемные носители (внешние жесткие диски, флеш-карты и др.), подключаемые к рабочим станциям
Ситуация может развиваться и по иному сценарию. Но в любом случае своевременно полученная информация позволит HR-менеджменту компании принять взвешенное решение о том, как (и нужно ли) мотивировать сотрудника либо готовить ему замену.
Таким образом, комплекс «Дозор-Джет» эффективно решает свою основную задачу – защиту стратегически важной информации. Использование системы вносит свой вклад в обеспечение реальной, а не «бумажной» безопасности при приведении в соответствие требованиям регуляторов. В то же время решение может способствовать достижению бизнес-целей не только в части информационной безопасности, но и в основных областях деятельности компании.