Сергей
Войнов

генеральный директор компании EveryTag
© ComNews
20.02.2020

В 2019 году вопросы кибербезопасности стали ключевыми в борьбе за сохранение бизнеса. По данным отчета Verizon DBIR 2019, сегодня основной угрозой для информационной безопасности организации становятся сотрудники компаний. Хорошая новость - развивается не только воображение злоумышленников, но и способы защиты от слива информации. В этой статье мы рассмотрим, к каким внутренним угрозам должен быть готов бизнес в 2020 году, и как от них защититься.

Многие компании до сих пор воспринимают угрозу слива информации как нечто исходящее от третьих лиц. Однако, как показывает практика, основной источник опасности сегодня - это сотрудники. По данным отчета Verizon DBIR 2019, в последние 4 года количество инцидентов, связанных с утечкой информации по вине внутренних нарушителей, активно росло и достигло 34% в 2019 году.

С повышением ценности информации в современном мире растут и финансовые потери компаний в случае утечки конфиденциальных данных. Исследование Ponemon Institute сообщает, что средний ущерб от одной инсайдерской утечки составляет около 513 000 долларов, а время ее обнаружения и устранения может варьироваться от 69 до 197 дней. При этом чем дольше фирмы будут находиться в поисках виновника, тем больше будет репутационный и финансовый ущерб. Поэтому компании нуждаются в решениях, которые помогут не только выявлять сам факт утечки, но и быстро находить источник слива информации.

Для защиты данных компании довольно давно и успешно применяют решения класса DLP (data leak prevention), которые контролируют, куда и какой файл переносился, и что в нем содержалось. Если сотрудник попытается слить ценную информацию через электронную почту или съемное устройство, то система заблокирует действие этого пользователя и оповестит об этом службу безопасности.

Но у DLP-технологии есть ряд недостатков. К примеру, при блокировке передачи информации, которая распознается как конфиденциальная, система может тормозить рабочие процессы. Кроме того, DLP-решение эффективно при анализе входящего/исходящего трафика, но не может бороться с таким видом передачи данных как фотографирование экрана или уже распечатанных документов. Также DLP-система не способна вычислить конкретного нарушителя.

Какие же способы похищения ценной информации обходят системы защиты, угрожая компаниям в новом десятилетии? И можно ли от них защититься при помощи новых средств

Фотография экрана

По разным данным, в 2018 году около 10% слитой информации было опубликовано в виде фотографий экрана компьютера, сделанных на мобильный телефон. В 2020 году популярность этого способа будет только расти.

В какую сумму может обойтись компании такая выходка сотрудника? Отобразим на примере. В 2014 году американский PNC Bank подал в суд на бывшего вице-президента регионального отделения во Флориде Эйлин Дейли за кражу конфиденциальной информации. Готовясь покинуть компанию, Дейли захватила с собой много важных данных. Систему безопасности она обошла играючи: попросту фотографировала документы прямо с экрана компьютера. Сразу же после этого она благополучно перешла в Morgan Stanley и "перетянула" за собой группу сотрудников, а также 15 крупных клиентов. Общий ущерб от действий недобросовестного экс-руководителя был оценен пострадавшим банком в 250 млн долларов! Если бы нарушителя вычислили сразу, ущерб был бы значительно меньше.

Скрытие информации внутри совершенно стороннего файла

Еще один метод, против которого бессильны DLP-системы. Его суть заключается в том, что любую текстовую информацию можно спрятать внутри файла совершенно другого типа – например, внутри картинки. Как это работает?

Как известно, любая электронная информация представлена в виде кода – это правило работает и для текста, и для самой банальной фотографии кошки из интернета. Если перевести эти файлы в формат кода, то внутри кода фотографии можно спрятать код текста, при этом сама фотография для человеческого глаза внешне не претерпит никаких изменений. Кроме того, можно помещать текст и внутри аудио- и видеофайлов. Спрятанный текст злоумышленник затем спокойно сможет извлечь обратно. Таким образом сотрудник может отправлять безобидную фотографию своего домашнего питомца, а компания даже не будет подозревать, что в этой фотографии он спрятал информацию, скажем, о корпоративных логинах и паролях. Уже несколько лет в свободном доступе представлены вполне функциональные программы, производящие такие операции автоматически.

Метод получил название стеганографии. Его главная задача — обвести службу безопасности вокруг пальца, передав с помощью безобидной картинки или другого файла секретную информацию. Тем самым стеганография позволяет передавать корпоративные данные через открытые каналы, скрывая сам факт ее передачи.

Применение ILD-системы

В отличие от DLP-систем, ILD-технология позволяет вычислять конкретного нарушителя. Как ей это удается? В основе ILD-системы лежит алгоритм, создающий для каждого сотрудника индивидуальную маркированную копию файла, с которым тот работает. Причем новая копия файла создается каждый раз, когда с документом производят какие-то действия - из одной страницы формата А4 система способна сгенерировать триллионы уникальных копий. Этого будет более чем достаточно даже для крупных организаций с большим объемом документооборота.

Визуально копия ничем не будет отличаться от оригинала, зато в каждом элементе файла будут содержаться метки, по которым система определит, кем и когда была получена именно эта копия. Для проведения экспертизы в случае утечки достаточно малого фрагмента, чтобы со 100% вероятностью выяснить, от кого конкуренты, клиенты или СМИ получили конфиденциальную информацию.

Также одним из ключевых преимуществ разработки является ее способность вычислять источник утечки, совершенной при помощи скриншотов, фотографирований экрана и махинаций с кодированием файлов. К примеру, если сотрудник решит передать данные методом стеганографии, то система все равно вычислит нарушителя по маркировкам ILD в тексте после его декодирования.

Многие нарушители, особенно технически подкованные, зачастую сливают информацию, потому что верят в то, что их никак нельзя отследить. Система ILD работает еще и превентивным способом, воздействуя на психологию. Информирование сотрудников о внедрении ILD вносит понимание, что действия преступников будут обязательно отслежены, а виновные понесут наказание. Таким образом, вероятность того, что кто-то решится на утечку, также снижается.

Внедрение VDR для работы с документами в безопасном пространстве

По прогнозу Forbes, к 2020 году до 83% корпоративных данных будут располагаться в облачных системах. Но такие хранилища не так уж здорово защищены, поэтому количество сливов через облачные сервисы год от года растет. К примеру, в 2018 году более 70% утечек ценной информации произошло именно через виртуальные серверы.

А в декабре 2019 года компания Wyze подтвердила утечку с сервера, в результате которой в свободном доступе оказалась персональная информация примерно 2,4 млн клиентов. Как это произошло? Организация скопировала некоторые файлы с основных производственных серверов и поместила их в более удобную систему. Хранилище данных было изначально хорошо защищено, однако сотрудник Wyze ошибочно удалил предыдущие протоколы безопасности, в результате чего конфиденциальная информация стала общедоступной.

Щитом от подобных инцидентов может стать виртуальная комната данных с высокой степенью их защиты от утечек (VDR, Virtual Data Room). По сути это облачное хранилище для безопасного обмена данными с возможностью гибкой настройки доступа, проверкой файлов на наличие вредоносного ПО и маркировкой документов. По прогнозам Markets&Markets, объем рынка провайдеров виртуальных комнат данных составит 1.8 млрд. долларов к 2022 году со среднегодовым темпом роста 14.8%, что подтверждает растущий спрос на их использование. Также разработана VDR, функционирующая на основе ILD-системы, поэтому в случае утечки компания поймет, кто стал ее источником. Плюс ко всему, интерфейс такой VDR-системы сходен с интерфейсом Google.Drive и Яндекс.Диск, то есть удобен в использовании и интуитивно понятен для большинства сотрудников.

В каких случаях VDR может быть особенно полезна? К примеру, в сделках по слиянию-поглощению компаний, в аудиторских проверках и подготовке к IPO, в работе c конфиденциальной информацией медийных персон или при защите разработок и интеллектуальной собственности. Но это далеко не весь спектр задач VDR. Если компания нуждается в современных и комплексных средствах защиты, то виртуальные комнаты данных могут стать одним из решений в борьбе за информационную безопасность организации.

Кто-то из читателей наверняка возразит: ведь DLP, ILD и VDR можно обойти, применяя максимально "древний" метод, например, переписывать на бумажку нужную информацию или запоминать ее устно. Спорить не будем. Но, во-первых, очевидно, что стопроцентной защиты от всех возможных угроз не существует. Во-вторых, не стоит забывать, что почти всегда ценность информации слишком велика, чтобы заказчики слива данных могли полагаться только на сведения инсайдера, не подкрепленные доказательствами. Поэтому простой бумажки с эксклюзивом, вероятнее всего, будет недостаточно – понадобятся убедительные доказательства вроде скана реального документа или хотя бы его фото. И вот здесь современные системы защиты будут четко стоять на страже безопасности компании.