Канали витоків конфіденційної інформації
Для організації системи протидії витокам інформації необхідно чітко уявляти, через які канали можуть "витікати" конфіденційні дані. Це дозволить правильно організувати захист таким чином, щоб він, з одного боку, був дійсно ефективним, а з іншого – мав мінімальну вартість володіння.
Запровадження
Побудова будь-якої системи захисту починається з вивчення потенційних ризиків та створення моделі загроз. Тільки в цьому випадку можна говорити про справді успішне вирішення завдання забезпечення безпеки. Захист від витоків конфіденційної інформації не є винятком цього правила. Як загрози тут виступають канали, якими дані можуть несанкціоновано залишати межі інформаційної системи організації.
Ступінь загрози у кожного з можливих каналів є різним. Деякі з них належать до найбільш поширених і потребують обов'язкового контролю практично у всіх організаціях. Інші ж, для багатьох компаній, становлять загрозу швидше теоретичну, ніж практичну. У цьому ситуація статична, вона постійно змінюється. З'являються нові потенційно небезпечні канали витоку інформації, змінюється популярність старих.
Актуальну інформацію про поширення каналів можна отримати з результатів досліджень витоків конфіденційної інформації. У нашій країні такі звіти представляють компанії, що спеціалізуються на розробці DLP-систем: InfoWatch та SecurIT. Варто зазначити, що в них фігурують дані, зібрані по всьому світу, а не лише в Україні. Втім, у цьому немає нічого дивного. У нашій країні публікується вкрай мала частина інцидентів, тому про якісну статистику говорити недоводиться.
Комп'ютери
Одним із основних каналів витоку завжди були комп'ютери, на яких зберігається конфіденційна інформація. Це можуть бути як сервери (наприклад, сервер баз даних, поштовий сервер тощо) та робочі станції корпоративної мережі, так і ноутбуки користувачів. Перші постійно перебувають у приміщеннях організації та що неспроможні виноситися назовні співробітниками. Другі використовуються для виїзної роботи та можуть вільно залишати територію офісу. Таким чином, ноутбук, який використовується замість ПК на робочому місці, також може вважатися стаціонарним комп'ютером у плані забезпечення безпеки.
Щодо мобільних комп'ютерів додається ще одна загроза - ризик випадково втрати або фізичного крадіжки ноутбука з конфіденційною інформацією. У разі стаціонарного ПК ймовірність такої події прагне нуля (випадки обкрадання офісів з винесенням комп'ютерного обладнання досить рідкісні). Ноутбуки ж губляться, зважаючи на повідомлення в пресі, досить регулярно. Таким чином, якщо для стаціонарних комп'ютерів необхідна лише DLP-система, яка контролює всі основні канали витоку даних, для мобільних додатково потрібне шифрування конфіденційної інформації.
Ми недаремно згадали, що комп'ютери тривалий час були основним каналом витоку конфіденційної інформації. За даними InfoWatch у 2010 році на них припало 37% усіх витоків. 2011 року ситуація змінилася досить сильно. Частка комп'ютерів у витоках скоротилася до 20,5%, тобто знизилася більш ніж 1,5 разу. SecurIT наводить інші цифри –22,5% у 2010 та 14,5% у 2011 роках. Проте загальна тенденція до зниження частки комп'ютерів є. Втім, і цифр, що залишилися, більш ніж достатньо, щоб ставитися до цього каналу з усією серйозністю.
Іншою причиною,яка змушує говорити про комп'ютери як про основний канал витоків конфіденційної інформації, є наступний факт. Згідно з дослідженнями, вони займають величезну частку серед умисних витоків даних. За даними InfoWatch, у 2010 році на них припадало 53% (39% на стаціонарні комп'ютери та сервери та 14% на ноутбуки), а в 2011 – 21,2% (15,4% на стаціонарні та 5,8% на мобільні комп'ютери). ) всіх подібних інцидентів. Тим часом, саме навмисні витоки є найбільш серйозною загрозою і призводять до найнеприємніших наслідків.
Інтернет
Сьогодні Інтернет активно використовується у багатьох бізнес-процесах. Але, при цьому, він є досить серйозним каналом для витоку конфіденційної інформації. За даними SecurIT на глобальну мережу в 2010 році припадало близько 35%, а в 2011 – вже 43,9% усіх інцидентів, пов'язаних із компрометацією даних (включаючи хакерські дії, переважна більшість яких здійснюється з використанням Інтернету). InfoWatch наводить інші дані – 23% у 2010 та 19,8% у 2011. Видно, що ці цифри загалом перегукуються з показниками витоків через комп'ютери. Саме тому Інтернет та комп'ютерне обладнання на сьогоднішній день і є основними каналами витоку інформації.
Контролювати електронну пошту, безперечно, потрібно. Однак тут треба враховувати один дуже важливий момент. Сьогодні співробітники компанії можуть використовувати як корпоративний поштовий сервер, так і безкоштовні веб-сервіси в Інтернеті. І обидва ці варіанти небезпечні з погляду інформаційної безпеки. Тому необхідно, щоб впроваджувана DLP-система мала можливості контролю як корпоративної пошти, так і веб-сервісів.
Наступним потенційно небезпечним інтернет-каналом витоку конфіденційної інформаціїє всілякі системи спілкування, в основному, IM-клієнти та Skype. Ситуація посилюється тим, що кількість перших постійно зростає. Якщо раніше були поширені буквально два-три основні клієнти (ICQ, QIP та ін.), то сьогодні багато веб-сервісів обзаводяться власними програмами для швидкого спілкування. Контроль Skype, який став популярним останнім часом, теж ускладнений через передачу даних через зашифрований канал зв'язку. Втім, останні версії сучасних DLP-рішень успішно справляються з контролем практично всього спектра програм обміну швидкими повідомленнями.
Впроваджувати контроль над використанням перерахованих вище веб-сервісів необхідно не тільки для виявлення та запобігання спробам передач конфіденційної інформації, але й для виявлення нелояльно налаштованих співробітників. Найбільш яскравий приклад – пошук працівників, які активно використовують HR-сайти: які переглядають вакансії, відправляють резюме тощо. Подібні дії дозволяють припустити можливий перехід таких співробітників у конкуруючі організації.
На окрему згадку заслуговують всілякі хакерські атаки. У звіті SecurIT вони виділені окрему графу. І, як виявилось, у цьому є свій сенс. У 2010 році на них припадало лише 6,2% інцидентів, пов'язаних із витоком конфіденційної інформації. А вже у 2011 році ця частка зросла більш ніж у 4(!) рази – до 25,8%. Це свідчить про те, що зловмисники все частіше використовуються для викрадення даних усіляке шкідливе ПЗ, за допомогою якого і реалізуються хакерські атаки на комп'ютери з конфіденційними даними. Причому захист від них відносний простий. Встановлення, налаштування та своєчасне оновлення антивірусу, оновлення операційних систем, використання файрволу, фільтрація небажаних сайтівможуть багаторазово знизити ризик успішних атак хакерів на мережу організації.
Знімні накопичувачі
Якщо почитати пресу, то здається, що знімні накопичувачі є чи не головним джерелом усіх проблем. Журналісти люблять розповідати про втрачені чи вкрадені "флешки" та мобільні диски з конфіденційною інформацією. Однак насправді знімні накопичувачі стають причиною інцидентів відносно рідко. За даними InfoWatch у 2010 з ними було пов'язано лише 8% витоків даних. Цифра у звіті SecurIT дещо більша – 12,6%. У 2011 році частка знімних накопичувачів зменшилася. За даними SecurIT на них припало лише 6,3%, а за даними InfoWatch – 6,2% від загальної кількості інцидентів, пов'язаних із витоком конфіденційних даних.
Пояснюється це досить просто. Незважаючи на те, що всілякі USB-накопичувачі набули широкого поширення, вони не так часто використовуються для перенесення і, тим більше, зберігання конфіденційних даних. Крім того, цей канал відносно легко контролюється. Достатньо ввести обов'язкове шифрування даних на корпоративних "флешках", щоб убезпечити їх у разі втрати накопичувача.
Паперові документи
Ситуацію посилює два факти. По-перше, у більшості організацій контроль закінчується друку документа. Після цього його переміщення офісом та утилізація ніяк не відстежується і повністю залишається на совісті співробітників. По-друге, на сьогоднішній день контроль за паперовими документами можливий лише за допомогою організаційних заходів (серйозно говорити про впровадження в офісі режиму таємності за прикладом організацій, які працюють із документами, які становлять державну таємницю, ми не будемо). Трудова дисципліна в багатьох компаніях залишається досить низькою. В результаті чогодокументи з конфіденційною інформацією відправляються не в шредер, а просто в кошик для сміття. Звідки вони потрапляють у мульду та можуть бути знайдені зловмисниками.
В українських реаліях, із прагненням тотальної економії, актуальна й інша модель загроз, пов'язаних із паперовими носіями. Йдеться про чернетки – забраковані або вже непотрібні листи, чисті з одного боку. Найчастіше вони використовуються для друку будь-яких внутрішніх документів. При цьому виникає ризик того, що конфіденційні дані потраплять до рук співробітників, які не повинні мати доступу до них.
Інші канали витоку
Крім основних, перерахованих вище, є чимало інших каналів витоку конфіденційної інформації. Вони значно менш поширені, проте забувати про них не можна. Тим більше, що багато з цих каналів використовуються зловмисниками для цілеспрямованого видобутку певної інформації. Тобто такі витоки, незважаючи на їхній малий відсоток у спільній частці, здатні завдати відчутних збитків будь-якій організації.
Насамперед до таких каналів відносяться архівні накопичувачі, призначені для зберігання копій конфіденційної інформації, включаючи всілякі бази даних. У багатьох компаніях інформація на них записується у відкритому вигляді. Тому при втраті або крадіжці такого накопичувача дані легко стають здобиччю зловмисників. Це видно і за звітами. Так, згідно з даними InfoWatch, у 2010 на резервні накопичувачі припало лише 2% інцидентів, пов'язаних із витоком конфіденційної інформації. А вже 2011 року їхня частка зросла до 8,5%.
Іншим каналом витоку конфіденційних даних є некоректна утилізація комп'ютерного обладнання та носіїв. У багатьох організаціях списані комп'ютери продаються або передаються внекомерційні установи. І, у своїй, бувають випадки, коли ПК віддаються у вигляді, як вони є, без видалення всієї інформації. Але, навіть якщо жорсткий диск комп'ютера і буде відформатовано, повернути дані до життя не важко. Перед утилізацією носій повинен бути підданий спеціальній процедурі очищення, яка унеможливить відновлення інформації.
Крім цього існує ще кілька каналів витоку конфіденційної інформації, включаючи шахрайські дії щодо співробітників компанії, фішинг та ін.
Висновки
2011 року ситуація змінилася. Частка комп'ютерів, у тому числі мобільних, поступово знижується. На противагу цьому збільшується кількість інцидентів, пов'язаних із використанням Інтернету. Особливо небезпечні в плані безпеки виявляються всілякі веб-сервіси та атаки хакерів (кількість останніх зросла в 2011 році дуже і дуже значно). Відповідно до цих даних і рекомендується будувати захист від порушень конфіденційності інформації.
Загалом обидва канали можуть повністю контролюються за допомогою сучасних DLP-систем. Особливу увагу рекомендується приділити комп'ютерам. Точніше, політику використання знімних накопичувачів та принтерів в організації. Цілком можливо, що багатьом співробітникам не потрібно щось копіювати на флешки. І заборонивши їм це робити, можна суттєво підвищити безпеку компанії. Окремо слід розглядати мобільні комп'ютери. Якщо вони використовуються в роз'їздах, краще доповнювати систему захисту шифруванням конфіденційної інформації.
Інтернет повністю забороняти не можна. Тому інструменти контролю мережевих каналів зазвичай засновані на контекстному аналізі і мають імовірнісний характер. Тим не менш, оскільки Інтернет більше фігурує у випадковихвитоку конфіденційних даних, навіть ці кошти можуть істотно знизити інформаційні ризики організації. Крім того, необхідно суворо дотримуватися спільної політики безпеки та використовувати антивіруси, файрволи, системи фільтрації небажаних сайтів тощо, що дозволяє знизити ризик атак хакерів.
Окремо можна відзначити такий канал витоків конфіденційної інформації як знімні накопичувачі. За даними досліджень він не займає лідируючих позицій щодо поширеності – його частка у 2011 році склала трохи більше 6%. Однак ситуація зі знімними накопичувачами посилюється тим, що далеко не всі інциденти з ними стають відомими. Зазвичай публікуються лише ті витоку, які пов'язані з дозволеним у компаніях використанням "флешок". Тобто, коли дані на них розміщуються з відома керівництва. У той же час нерідкі випадки, коли співробітники, порушуючи безпекову політику, копіюють конфіденційну інформацію на свої особисті знімні накопичувачі, які згодом втрачають. Це, знову ж таки, говорить про високий рівень необхідності впровадження DLP-систем в інформаційну структуру організації з можливістю контролю перенесення даних на флешки.
Інші канали витоку конфіденційних даних поширені менше. Але це не означає, що їх не слід контролювати. Так, наприклад, частка витоків конфіденційної інформації через резервні накопичувачі у 2011 році зросла більш ніж у 4 рази. Тому в кожному конкретному випадку необхідно складати свою модель загроз і відповідно до неї приймати рішення про необхідність впровадження тих чи інших засобів захисту. Тим більше, що поступово ситуація змінюється, зокрема постійно збільшується кількість витоків через інтернет-канали.