Информация — ценный актив организации, ее утечка способна причинить убытки, подорвать репутацию и позиции на рынке. Утечки информации чаще всего совершаются в интересах конкурентов, персональные данные клиентов, обрабатываемые компанией или банком, похищаются для перепродажи на черном рынке. В 80 % случаев, как показывают исследования, хищение информации связано с действиями сотрудников организации — инсайдеров. Конкуренты, использующие профессиональные алгоритмы несанкционированного доступа, или хакеры виноваты в утечках реже, но при построении модели защиты нельзя упускать из виду и этот тип угроз ИБ.

Стандартные каналы утечки данных

ФСТЭК относит инсайдеров к авторам угроз информационной безопасности с невысоким потенциалом. Способы организации утечек предсказуемы и могут быть заблокированы доступными любой службе безопасности средствами, это:

• электронная почта, корпоративная и внешняя;
• облачные хранилища данных, даже при разрешении пользования ими не всегда отслеживается перенос туда блоков конфиденциальной информации;
• общение в соцсетях и на форумах, где коммерческая тайна компании может быть разглашена случайной оговоркой;
• популярные мессенджеры;
• периферийные и внешние подключаемые устройства: мобильные гаджеты, съемные носители;
• задания на печать: локальные и сетевые;
• прямое копирование файлов или документов, их фотографирование.

Для контроля этих каналов утечки информации в компаниях используются DLP-системы, осуществляющие мониторинг трафика пакетов конфиденциальной информации внутри организации и вовне ее. При выявлении запрещенных действий, например, отправки данных, содержащих коммерческую тайну, по незащищенным каналам связи, система блокирует нежелательную операцию с выведением на экран предупреждения и передачей сведений об инциденте в службы информационной безопасности. Чаще всего системы применяются для контроля потока данных в почте и при передаче их в облачные хранилища, по обычным каналам или с помощью защищенных VPN-каналов.

От прямого копирования документов и монитора убережет контроль работы на копировальных аппаратах. Съемки мобильным телефоном можно исключить, оборудовав рабочее место камерами или запретив использовать личные мобильные устройства в офисе. Более прогрессивным решением станет использование одной из платформ маркирования документов, часто применяемых в комплексе с DLP-системами. На каждый документ, содержащий конфиденциальную информацию, она проставит скрытые метки, идентифицирующие временного владельца документа. Платформа:

• запишет все действия пользователя с документом;
• разграничит права пользователя при работе с файлами;
• при утечке фотографий проследит историю документа и выявит организатора утечки.

Платформа интегрируется с DLP-системами, которые с легкостью будут отслеживать трафик документов с метками конфиденциальности внутри компании и на выходе из информационного периметра.

Профессиональные каналы утечки данных

Создатели угроз со средним и высоким потенциалом — конкуренты, использующие профессиональное оборудование, хакеры, иностранные технические разведки — способны использовать более изощренные механизмы организации утечек информации:

• несанкционированное подключение к внешним каналам связи;
• перехват и подмена исходящих и входящих пакетов информации;
• изменение первичного кода программ;
• установка программных закладок;
• использование вредоносных программ, направленных на хищение информации.

Полный перечень угроз информационной безопасности, исходящих от нарушителей с высоким потенциалом, можно найти на сайте ФСТЭК. Справиться с каждой из них помогут предлагаемые регулятором меры и использование сертифицированного программного обеспечения защитного характера — антивирусов, межсетевых экранов, средств контроля внешних вторжений, средств доверенной загрузки, систем аудита и мониторинга работоспособности системы и инцидентов информационной безопасности.

Утечки защищаемой информации могут происходить путем прослушивания, звукозаписи, съема вибраций окон или перегородок. Найти такие закладные устройства поможет специальная аппаратура.

Методы устранения утечек

Защита от угроз информационной безопасности и система предотвращения утечек должны иметь комплексный, системный характер. Нельзя защитить один участок, оставив без охраны второй, например, использовать против вредоносных программ антивирусы, отказавшись от межсетевых экранов. Блокировка каналов утечки информации должна опираться на организационную основу. В компании необходимо принять пакет внутренних нормативных актов, описывающих параметры конфиденциальной информации и методы работы с ней. Ознакомление сотрудников с этими документами под подпись позволит привлечь их к ответственности в случае преднамеренной утечки. После разработки документации необходимо провести полный аудит информационной системы на уязвимости, бизнес-процессы организации — на участки, где возможна потеря информации, а привилегий администраторов — на предмет их избыточности.

Комплексное решение задач информационной безопасности обеспечивает DLP-система. «СёрчИнформ КИБ» контролирует максимальное число каналов передачи данных и предоставляет ИБ-службе компании большой набор инструментов для внутренних расследований.

После проведения аудита и анализа результатов можно перейти к внедрению программных и технических способов блокировки каналов утечки информации. Они являются типовыми для офисных систем, основаны на международных стандартах безопасности, например, «Оранжевой книге» США, и нашли отражение в национальных ГОСТах и рекомендациях ФСТЭК РФ.

Исходя из действующей методической базы службы безопасности и ИТ-подразделения, организации в работе используют следующие методы блокировки каналов утечки информации:

• внедрение системы идентификации и аутентификации пользователей с применением усложненных методов — электронных ключей, биометрии;
• использование системы дифференцированного доступа, разграничение пользователей по рангам, проставление на документы меток конфиденциальности;
• применение SIEM и DLP-систем, учитывающих потребности организации;
• регулярное использование сканеров уязвимостей, учитывающих новые угрозы информационной безопасности;
• внедрение комплекса программных средств, защищающих систему от проникновения, — антивирусов, межсетевых экранов с выбором программных средств, прошедших сертификацию ФСТЭК;
• применение защиты виртуальных сред (VMsec);
• разработка регламента взаимодействия с облачными хранилищами;
• применение средств, обеспечивающих безопасность мобильных устройств (MdM);
• применение защищенных протоколов VPN при передаче данных из организации;
• использование средств криптографической защиты.

Только программных и технических средств для блокировки каналов утечки информации будет недостаточно. Необходимо постоянное обучение пользователей основам информационной безопасности, особенно при удаленном доступе, когда происходит подключение к информационной системе компании извне. Обязательно проводить проверки систем безопасности и готовности пользователей. Для этого применяются тесты на проникновение, моделирование инцидентов, взаимодействие экспертов с сотрудниками с использованием методов социальной инженерии.

Ежегодно требуется проводить очередной аудит защищенности информационной системы с привлечением компаний, имеющих лицензию ФСТЭК РФ. Техническое оснащение хакеров постоянно растет, и аудит поможет выявить уязвимости, возникшие в течение последнего периода. Его результаты позволят заблокировать вновь возникшие каналы утечки информации.

Популярные способы организации утечек легко блокируются своими силами. Если модель рисков предполагает угрозы со стороны злоумышленников с высоким потенциалом, необходимо прибегнуть к консультации профессионалов информационного рынка.

15.03.2021