Рыночная экономика делает необходимостью для современных предприятий защищать всю свою информацию: разработки, сведения о бизнесе, о базах снабжения и клиентах, ноу-хау. Эти данные постоянно под угрозой на простых и особо важных объектах. Ими могут воспользоваться конкуренты и нечестные служащие объекта. Защиту материалов от угроз извне, различных потерь информационных ресурсов, устранения или искажения данных внутренним злоумышленником обеспечивают инструменты информационной безопасности. К ним относятся: антивирусы, межсетевые экраны, системы, обнаруживающие атаки.

Внутренние угрозы для предприятий

Аналитики утверждают, что внутренними угрозами безопасности современных предприятий могут быть:

• утечки информации (до 73 %) и неряшливость служащих (до 70 %). Это наиболее опасные проблемы;
• инсайдерские угрозы, их количество сейчас сильно увеличилось, что требует наличия дополнительных систем защиты;
• нарушители внутренней информационной безопасности, чаще всего не несущие за свои поступки почти никакого наказания.

Чтобы защитить на объекте секретную информацию, можно применять DLP-системы. В переводе с английского, Data Leak Prevention – предупреждение утечек информации. Их возможно применять для защиты при пользовании, отсылке или хранении любых материалов.

Особенности профайлинга

Профайлинг раньше был отнесен к формированию психологического портрета вора. Современное значение слова сильно расширилось. Профайлинг может быть:

• коммерческим;
• кадровым;
• семейным или бытовым;
• криминологическим, для выявления потенциального террориста;
• профилактическим;
• страховым профайлингом;
• на транспорте;
• гостиничным;
• прогностическим или профильным моделированием;
• типологическим, для изучения особенностей поведения человека;
• оперативно-розыскным, для задержания потенциально опасных лиц;
• судебно-следственным профайлингом;
• виктимологическим.

Вышеперечисленные примеры указывают на применение такого понятия, как профайлинг, к самым разным сферам жизнедеятельности человека.

Выявление потенциально опасных преступников при розыскной деятельности специальных служб выполняется такими системами, как: Досье, Lisp Monster или Насилие, но они не применяются для предохранения от злоумышленников секретных сведений или разрешения деловых проблем профайлинга.

Особенности DLP-системы

Чтобы решить вопросы защиты секретных материалов от непредвиденных или преднамеренных взломов DLP-систем, применяются программно-аппаратурный и программный способы. Работает DLP-система на основе проведения исследований потоков, расположенных внутри границ безопасности данных. В привычных ситуациях эти системы, обнаружив секретный материал в идущем потоке, начинают блокировку его передачи.

Создатели DLP-систем рекомендуют для обеспечения безопасности свои структуры решений.

Специалисты профайлеры выделяют такие блоки DLP-систем для безопасности организаций:

• Центральный сервер для управления. Его задачи – сопоставить сообщения, идущие от перехватчиков, а затем выдать результаты проделанной работы.
• Перехватчики передачи данных. Контролеры анализируют все поступающие материалы, которые могут выводиться за пределы предприятия, обнаруживают секретные материалы, классифицируют их, а затем направляют на управляющий сервер, где специалисты обрабатывают обнаруженный инцидент, используя свои умения и навыки. Чтобы обнаружить хранимые данные, перехватчики включают программы выявления в ресурсах сети секретных материалов.
• Программы для агентов. Такие программы для службы безопасности дают возможность отслеживать на предприятиях засекреченные материалы и контролировать соблюдение в них принятых правил и норм безопасности.

Симбиоз системы DLP и профайлинга

Широкие ресурсы DLP-систем позволяют использовать их технологии для применения профайлинга. Прежде всего, это коммерческий профайлинг, что связано с наличием интегрированного устройства в DLP-системах.

Чтобы определить, является ли представленный материал секретным, в DLP-системах применяются такие методы:

• Контроль содержания. Такой способ малоприменим, чтобы получить защиту и избежать утечек значительных размеров документов.
• Контроль контекста. Используется, чтобы предотвратить убыль файлов, нехарактерных для текстовых объемов. Если к требующим защиты файлам имеет доступ небольшое количество сотрудников, можно успешно отслеживать как отправителей, так и получателей.
• Использование специальных шаблонов постоянных формулировок.
• Цифровые отпечатки. Это современные средства, обеспечивающие безопасность материалов и баз достаточно больших объемов, базирующихся на автоматической разработке экономичных «хэш-идентификаторов», содержащих тексты.

Успешному применению технологии профайлинга по отпечаткам цифр могут помешать такие факторы:

• Лишь часть объемного документа вызывает интерес злоумышленников, и посылаться будет лишь этот раздел. На небольших фрагментах способ цифровых отпечатков не всегда срабатывает.
• Преступник может произвести замену или ввести в текст несколько новых символов, что поменяет цифровой отпечаток, однако приобретатель сможет все восстановить.
• В базах материалов или в документах значительно изменяется информация.

Чтобы решить вопросы безопасности и устранить такие недостатки, стоит воспользоваться следующими способами профайлинга:

• Статистическим контролем. При этом способе можно по частотному распределению определить замену букв. Используется метод для большого объема документов.
• Лингвистическим способом. В этом случае требуется использовать словари, из-за чего время проверки значительно увеличивается.
• Методом, при котором угроза контролируется по шаблонам постоянных оборотов. Это наиболее надежная проверка текста. Шаблоны позволяют выявить подмену, отслеживая малохарактерные последовательности в языке ключевых слов и букв.

Преимущества контроля безопасности по шаблонам постоянных выражений:

• не нужны словари;
• существует вероятность определить величину частоты срабатываний;
• можно применять на информации любых размеров;
• нет необходимости изучать текст на частоту расположения в нем букв;
• можно производить настройку шаблонов.

Чтобы обеспечить ИБ от террористических актов, стоит привлекать специалистов по безопасности. Для снабжения служб информационной безопасности таким методом, как профайлинг, существует несколько этапов:

• первоначальное наблюдение за вероятным служащим или рабочим предприятия, чтобы составить их психологический портрет;
• проверка документации, с которой занимается работник, при необходимости следует провести с ним опросную беседу или вести переговоры по подозрительным признакам;
• слежка за служащими, вызывающими подозрение, и взаимодействие со всеми подразделениями и работниками предприятия, чтобы определить их психологический профиль.

Для повышения информационного уровня безопасности на особо важных объектах стоит использовать комплексно профайлинг и системы DLP.
В Российской Федерации безопасность объектов осуществляют InfoWatch, SearchInform, КИБ СерчИнформ ProfileCenter, Zecurion, SolarSecurity – это ведущие производители профайлинга и DLP-систем.

С помощью профайлинга и системы DLP можно выявить любого нарушителя ИБ предприятия, обеспечить безопасную работу отдельной организации и существование без террористов всего государства.