"Финансовая газета. Региональный выпуск", 2011, N 27

 

Статья: Защита корпоративных информационных ресурсов от утечек информации (Идов Р.) ("Финансовая газета. Региональный выпуск", 2011, N 27) {КонсультантПлюс}

 

Угроза утечек информации для современных компаний возрастает пропорционально интенсивности использования ИТ. В настоящее время одной из наиболее актуальных угроз является утечка данных из корпоративных сетевых ресурсов (базы данных, файл-серверы и т.п.). Как защищаться от подобных угроз?

 

Как отмечают эксперты, сегодня тренд в угрозах информационной безопасности таков, что на первый план выходят уже не случайные утечки данных, происходящие по вине отдельных сотрудников, халатно относящихся к своим обязанностям, а целенаправленные атаки, ведущиеся в целях дискредитировать компанию, осуществить кражу корпоративных секретов и получить закрытые сведения о перспективных планах и разработках. От подобного сейчас не застрахована ни одна компания: утечки происходят из организаций, работающих практически в любой сфере, о чем свидетельствуют новостные ленты на специализированных сайтах.

Почему корпоративные информационные ресурсы сегодня являются наиболее уязвимым звеном во всей сети компании? Дело в том, что, как правило, компании не уделяют должного внимания их защите. Если для защиты от утечек данных по электронной почте, ICQ, протоколу Всемирной паутины сегодня существует достаточно много решений, которые активно используются как государственными, так и коммерческими организациями, то с теми же внутрикорпоративными файл-серверами все обстоит значительно сложнее - нередко, даже если в компании применяют для борьбы с утечками информации DLP-систему, она просто не поддерживает контроль за действиями пользователей на корпоративных информационных ресурсах. Не в последнюю очередь в таком положении вещей виноваты и производители DLP-систем, которые стараются акцентировать внимание "безопасников" на контроле почты, ICQ и других средствах обмена данными с внешним миром, в то время как все происходящее внутри компании остается для контролирующей системы тайной за семью печатями.

 

Что подразумевается под угрозой

 

По результатам анализа ситуации в нескольких российских организациях наибольшему риску в корпоративных сетях подвергаются следующие информационные ресурсы:

файл-серверы;

корпоративные базы данных;

внутрикорпоративные средства общения (форум, чаты);

корпоративная wiki;

корпоративный календарь и система управления задачами.

По вполне понятной причине файл-серверы, хранящие огромное количество различных, в том числе и конфиденциальных, документов, обычно наиболее интересны как сотрудникам, желающим заработать на продаже корпоративной информации, так и злоумышленникам, пытающимся получить доступ к корпоративной информационной сети.

Не менее интересны им и базы данных, содержащие информацию о клиентах, поставщиках, сотрудниках. В последнее время в свете роста "черного" рынка персональных данных, востребованных различными мошенниками, интерес последних к корпоративным базам данных заметно возрос.

Внутрикорпоративные ресурсы, такие как форум, wiki, чат, календарь, система управления задачами и т.д., могут оказаться поистине бесценным источником совершенно подлинной и достоверной информации о компании. Обсуждение проблем с тем или иным клиентом на внутреннем форуме может оказаться более информативным, чем сухая строчка из базы данных с клиентами. Более того, оно дает возможность конкуренту, к которому попадет в руки, возможность сформировать предложение, решающее проблемы данного клиента. Следовательно, интерес к таким ресурсам компании со стороны конкурентов более чем закономерен.

 

Двойная защита

 

Защищать корпоративные информационные ресурсы нужно одновременно и от внешних, и от внутренних врагов, т.е. и от тех, кто хочет получить несанкционированный доступ к ним извне, и от тех, кто имеет к ним легальный доступ, но при этом хочет воспользоваться своими полномочиями во вред компании.

Главным средством защиты от первых становятся вполне привычные для любой компании межсетевые экраны и антивирусы, способные оградить ее не только от различного вредоносного программного обеспечения, но и от атак, организуемых извне. При выборе средств защиты от внешних угроз необходимо ориентироваться не столько на известность того или иного производителя средств защиты, сколько на реальное соответствие предлагаемых характеристик продукта потребностям компании. Например, "софтверный" межсетевой экран для небольших организаций может оказаться гораздо более удачным решением, несмотря на все преимущества "хардверного", поскольку последние в силу сравнительно небольшого количества трафика окажутся попросту избыточными.

Средства обеспечения внутренней безопасности до сих пор применяются не во всех компаниях. Вернее, в большинстве из них применяется далеко не весь спектр решений, способных гарантировать защиту корпоративных информационных ресурсов от действий сотрудников. Наиболее распространенными являются средства разграничения прав доступа, которые, впрочем, действуют не на всех ресурсах. Например, просмотр чужих задач в соответствующем планировщике невозможен, но с файлами, находящимися на корпоративном файл-сервере, может ознакомиться любой желающий.

Важную роль в защите корпоративных информационных ресурсов играют средства контроля информационных потоков, которые чаще всего предстают в виде корпоративной системы защиты от утечек данных (DLP-системы). Суть работы подобного рода систем состоит в создании защищенного информационного периметра, для которого производятся перехват и мониторинг всего исходящего трафика, а часто еще и входящего. Под трафиком подразумевается здесь не только интернет-трафик, а в идеале также и документы, которые выносятся за пределы защищаемого контура безопасности на внешних носителях, распечатываемые на принтере, отправляемые на мобильные носители через Bluetooth, и т.д. Определение степени конфиденциальности документа, обнаруженного в перехваченном трафике, может вестись двумя способами: путем анализа специальных маркеров документа (естественно, документ должен быть помечен таким маркером заранее) либо путем анализа содержимого документа. Второй вариант в настоящее время более распространен, поскольку добавление специальных маркеров не решает проблем, связанных с переводом информации в другой формат, и т.п.

К сожалению, большинство DLP-систем позволяют осуществлять мониторинг и контроль только внешнего трафика, в то время как действия пользователей на тех же файл-серверах и других корпоративных информационных ресурсах остаются незаметными для службы информационной безопасности. В то же время трудно переоценить эффективность как раз такой системы, которая позволяет видеть, какими документами интересовался тот или иной пользователь в различные периоды.

DLP-система является достаточно дорогостоящим решением, поэтому при ее приобретении необходимо учитывать возможности отслеживания действий пользователя на внутренних ресурсах, появления на его компьютере закрытых для него файлов с файл-сервера и т.д. Фактически без поддержки подобной функциональности эффективность данных систем снижается в разы.

 

Если защититься не удалось

 

Достаточно часто компании не имеют четкого плана действий на тот случай, если корпоративные информационные ресурсы защитить все-таки не удалось. Главное в этом случае проанализировать причины данной ситуации, чтобы предпринять правильные шаги для исключения ее повторения в будущем. Безусловно, любая утечка информации раньше или позже принесет свои негативные плоды, однако ее максимально быстрое расследование позволит минимизировать негативные последствия и исключить повторные утечки, которые могут принести гораздо больший ущерб, чем первая по счету.

 

Выводы

 

Защита корпоративных информационных ресурсов от утечек информации, несмотря на свою важность для успешной работы организации в среднесрочной и долгосрочной перспективе, не требует каких-то сверхчеловеческих усилий со стороны ее специалистов по информационной безопасности и руководства. Контроль за действиями сотрудников и грамотный выбор средств защиты - главные составляющие успеха в этом деле.

 

Р.Идов

Компания SearchInform