В наше время промышленный и государственный шпионаж процветает. Благодаря развитию информационных технологий ежедневно появляются новые методы слежки и незаконного получения информации о деятельности своих конкурентов. Технические каналы утечки конфиденциальной информации возникают из-за физических преобразователей. Совершенно любой электронный прибор в помещении может стать источником утечки, в свою очередь он может быть обнаружен и обезврежен. Причем обезвредить его чаще проще, чем найти.

Общие сведения

Передать информацию можно через поле или вещество. Украсть можно звуковую волну, перехватить электромагнитное излучение или воспользоваться старыми методами и забрать бумаги, вариантов очень много. Но все они являются лишь носителями. Утечка сама по себе - это неконтролируемый выход скрытой информации за пределы предприятия или круга людей, которые ей обладали.

А вот под термином "технический канал утечки информации" подразумевается физический путь от источника к злоумышленнику. Именно через него происходит открытие доступа к скрытым данным. На данный момент существует четыре типа переноса сведений, а именно звуковые и электромагнитные волны, световые лучи и материалы.

Классификация

Классификация технических каналов утечки информации основывается на разделении их на подгруппы. Существуют естественные и специально созданные каналы. Первые могут появляться вследствие побочных электромагнитных излучений во время переработки сведений или при посторонних проводниках. Во втором случае в систему специально внедряются устройства, направленные на перехват. Для этого используются приемные устройства и широкополосные направленные антенны. Рассматривая технические каналы утечки информации, стоит также учитывать и источники помех.

Защита от акустического шпионажа

Микрофонный эффект может возникнуть в любом устройстве, где есть катушки индуктивности, пьезооптические преобразователи или Любой разговор вызывает колебания поля, которое эти устройства могут уловить. Чтобы обезопасить организацию от подобного рода утечки, используются организационные и технические меры. Первые - это выключение или смена устройства. Вторые - подключение специальных защитных устройств к телефонным линиям.

Современные устройства изготавливаются в виде телефонных розеток, так что определить их наличие визуально конкуренты не смогут. Прежде чем обезопасить технический канал утечки информации, следует проверить, а действительно ли он обладает микрофонным эффектом. Для этого применяется специальная аппаратура, выявляющая помехи, шумы и прочее.

Защита от электромагнитного шпионажа

Средства электросвязи и другие радиоэлектронные приборы имеют электромагнитное излучение. Оно необходимо, чтобы передавать данные, но есть также и нежелательные волны в виде внеполосных, электромагнитных и шумовых. Именно через них может возникнуть утечка сведений. Характер этого излучения напрямую зависит от дальности действия оборудования.

При сборе информации с устройств ближнего действия используют магнитную составляющую, дальнего - электромагнитное излучение. Таким образом технический канал утечки информации будет создавать поле помех. Оно будет зависеть от размеров помещений, мест расположений считывающего оборудования и от материалов, из которого оно создано. Чтобы определить утечку, нужно проверять оба поля, и ближнее, и дальнее.

Основные методы защиты

На данный момент современные технологии позволяют определять напряжение электромагнитного поля очень точно. Для этого используются специальные инструменты и аналитика. А вот определить, насколько напряжено суммарное поле, пока что точно невозможно. Лучше всего рационально размещать приборы в помещении, чтобы не создавать наложения их излучения друг на друга. Это значительно упростит проверку и выявление технических каналов утечки информации.

Самым важным в защите от таких утечек является ограничение сигналов, то есть они не должны выходить за пределы компании. Существуют нормы и допустимые значения волн, которые необходимо установить на оборудовании, чтобы не допустить возможности получения доступа к линиям связи конкурентов. Чтобы обеспечить защиту данных от побочных излучений, следует провести ряд мероприятий, а именно:

• Установить все устройства, потенциально приводящие к утечке, в местах, максимально удаленных от границы территории, которая охраняется.
• Обеспечить экранирование помещений, зданий и коммуникаций в фирме.
• Лучше всего использовать локальные системы, которые не имеют выхода за границы территории.
• Все развязки в сетях питания и заземления делать исключительно на охраняемой территории.
• Также можно установить подавляющие фильтры.

Если же есть подозрения, что защита информации от утечки по техническим каналам уже не помогает и есть утечка, то для ее обнаружения можно использовать селективные вольтметры, измерительные приемники, анализаторы сектора и другое специфическое оборудование.

Защита от шпионажа по цепям питания

Утечка из контролируемой зоны может произойти и через электросеть, к которой подключены технические средства. Чаще всего для таких подключений и кражи информации подобным образом используют блоки питания, излучающие высокие частоты. Чтобы провести защитные меры, в основном используются методы разводки цепей.

Для этого устанавливают специализированные сетевые фильтры, преобразователи и подобное оборудование, защищающее помещение от лишних скачков волн в электросетях. При более серьезном подходе на защищенной и охраняемой территории устанавливают отдельные трансформаторы, через которые происходит передача электричества в здание. Таким способом происходит самая надежная защита информации от утечки по техническим каналам через электросеть.

Заземление

Важно также обратить внимание на заземление. Очень важно правильно установить все оборудование и защитить его от злоумышленников. Установка заземления вне помещений проводится на глубине более чем полтора метра. В здании же их нужно устанавливать таким образом, чтобы регулярно можно было проверять на целостность и наличие дополнительных подключений.

Взаимные влияния в линиях связи

Известно, что линии передачи информации могут оказывать воздействие друг на друга. Влияющей цепью называют ту цепь, которая создает первичное влияние на электромагнитное поле. Далее идут уже цепи, на которые это поле воздействует. Кроме прямого влияния цепей друг на друга есть еще и косвенное воздействие, которое может возникнуть из-за отражения сигналов. Воздействие может быть систематическим и случайным.

В основном они возникают из-за проводов одинаковой величины, расположенных в надземном пространстве. Случайные же влияния появляются вследствие стечения обстоятельств, которые нельзя оценить или предугадать. Для создания условий воздействия один кабель должен быть экранирован, другой нет. Из этого следует, что технические наводки не безопасны, и через них может проводиться техническая разведка каналов утечки информации. При повреждении или коррозии кабелей, что очень часто случается на практике, они начинают излучать сильные сигналы в электромагнитное поле.

Защита от воздействия

Оборудование можно защитить от взаимного воздействия. Для этого следует применить необходимые меры, а именно:

• Использовать системы передачи и линии связи, у которых показатели взаимного воздействия минимальны. Можно почти полностью решить вопрос, если устанавливать исключительно волоконно-оптические линии и коаксиальные кабели.
• Выбирать кабели для различных систем рационально, то есть стараться компенсировать все наводки между симметричными линиями.
• Проводить экранирование цепей гибкими и жесткими экранами, это обеспечит снижение взаимовоздействия благодаря ослаблению интенсивности электромагнитного поля посредством экрана.

Защита от шпионажа в волоконно-оптических линиях и системах связи

Именно волоконно-оптические связи становятся техническими каналами утечки акустической информации. Существует ряд причин, по которым эти каналы могут стать причинами пропажи и передачи злоумышленникам конфиденциальной, важной информации:

• Стыкуемые волокна радиально несогласованные.
• Оси световодов несогласованные по угловому типу.
• Между торцами световодов образовался зазор.
• Поверхности торцов волокон имеют взаимную не параллельность.
• Появилось различие в диаметре сердечников волокон, которые стыкуются между собой.

Вышеперечисленные причины могут стать источником излучения световых сигналов в электромагнитное поле в помещении. Из-за этого может возникнуть акусто-оптический эффект. На волновод будет возникать акустическое давление, из-за чего его величина может измениться. Чтобы защитить технические каналы утечки речевой информации, в первую очередь нужно определить, почему возникает и распространяется свет на физическом уровне. Потом нужно обезопасить волновод, исключив любое акустическое воздействие на него.

Стоит учитывать, что оптическое волокно, покрывающее кабель, может влиять на чувствительность световодов в зависимости от материала, из которого оно изготовлено, и толщины провода. Для обеспечения снижения чувствительности можно покрыть волокно перед его установкой специальными веществами, у которых высокие значения объемных модулей упругости. Чаще всего для этого используют алюминий, никель или стекло.

Заключение

На данный момент существуют различные средства от утечки информации по техническим каналам. С учетом развития информационных технологий и повышенного количества возможностей промышленного шпионажа, любое предприятие, обладающее конфиденциальной информацией должно обезопасить себя от подобных утечек. Если правильно подойти к вопросу и использовать всевозможные защитные методики, можно значительно снизить риск утечки важных сведений для компании. Если же все эти методики не были проведены, то с определенной периодичностью стоит проверять все средства связи и возможные технические каналы, чтобы обнаружить и обезвредить устройства, считывающие и передающие информацию.

В наше время совершенно невозможно предугадать, каким образом злоумышленники попадут в охраняемое помещение и установят специальное оборудование для считывания. Но постоянный мониторинг и защитные средства могут обезопасить от этого. Кроме того, появление экранированных и отражающих антенн значительно увеличило возможности кражи информации. Поэтому очень важно проводить мониторинг электромагнитного поля в помещении и вокруг него. Любое средство технического шпионажа можно обнаружить и обезвредить, главное, заниматься этим вопросом и использовать доступные технические приспособления, предназначенные для этого.

Подсистема инженерно-технической защиты информации от утечки предназначена для снижения до допустимых значений ве­личины риска (вероятности) несанкционированного распростра­нения информации от се источника, расположенного внутри конт­ролируемой зоны, к злоумышленнику. Для достижения этой цели система должна иметь механизмы (силы и средства) обнаружения и нейтрализации угроз подслушивания, наблюдения, перехвата и утечки информации по вещественному каналу.

В соответствии с рассмотренной во втором разделе классифи­кацией методов инженерно-технической защиты информации ос­нову функционирования системы инженерно-технической защи­ты информации от утечки составляют методы пространственного, временного, структурного и энергетического скрытия.

Для обеспечения пространственного скрытия система долж­на иметь скрытые места размещения источников информации, из­вестные только людям, непосредственно с ней работающим. В по­мещения, в которых хранятся секретные документы, имеет допуск очень ограниченный круг лиц. Руководители частных структур часто используют для хранения особо ценных документов тайни­ки в виде вделанного в стенку и прикрытого картиной сейфа и даже отдельного помещения с замаскированной дверью.

Для реализации временного скрытия система защиты долж­на иметь механизм определения времени возникновения угрозы. В общем случае это время можно спрогнозировать, но с большой ошибкой. Но в отдельных случаях оно определяется с достаточной точностью. К таким случаям относится время:

§ пролета над объектом защиты разведывательного космического аппарата;

§ работы радиоэлектронного средства или электрического прибо­ра как источника опасных сигналов;

§ нахождения в выделенном помещении посетителя.

Возможность точного определения места нахождения в кос­мическом пространстве разведывательного космического аппара­та (КА) позволяет организовать эффективную временную скрыт­ность объекту защиты. Это время рассчитывается по параметрам орбиты запущенного КА специальной службой, которая инфор­мирует заинтересованные организации о расписании его пролета. Включение не прошедшего специальную проверку радиоэлектрон­ного средства и электрического прибора создает потенциальную угрозу речевой информации в помещении, в котором установле­но это средство или прибор. Поэтому разговоры по закрытым воп­росам при включенных непроверенных или незащищенных радио­электронных средствах и приборах запрещаются. Также приход по­сетителя в выделенное помещение следует рассматривать как воз­никновение угрозы утечки информации. Поэтому в его присутс­твии исключаются разговоры и показ средств и материалов, не от­носящихся к тематике решаемых с посетителем вопросов. С целью исключения утечки информации через посетителей переговоры с ними за исключением случаев, когда в обсуждения возникает не­обходимость в демонстрации работы средств, проводятся в специ­альном выделенном помещении для переговоров,

находящимся на минимальном расстоянии от КПП.

Средства структурного и энергетического скрытия существен­но различаются в зависимости от угроз. Поэтому в общем случае подсистему инженерно-технической защиты от утечки информа­ции целесообразно разделить на комплексы, каждый из которых объединяет силы и средства предотвращения одной из угроз утеч­ки информации (рис. 19.7).

Хорев Анатолий Анатольевич,
доктор технических наук, профессор,
Московский государственный институт электронной техники
(технический университет), г.Москва

Технические каналы утечки информации, обрабатываемой средствами вычислительной техники.

7. Терминология в области защиты информации: Справочник. М.: ВНИИ Стандарт, 1993. -110 с.

8. Техническая защита информации. Основные термины и определения: рекомендации по стандартизации Р 50.1.056-2005: утв. Приказом Ростехрегулирования от 29 декабря 2005 г. № 479-ст. - Введ. 2006-06-01. - М.: Стандартинформ, 2006. - 16 с.

9. Хорев А.А. Техническая защита информации: учеб. пособие для студентов ву-зов. В 3 т. Т. 1. Технические каналы утечки информации. М.: НПЦ «Аналитика», 2008. - 436 с.

10. Anti terror equipment: catalog. - Germany: PKI Electronic Intelligence, 2008. - 116р. + http://www.pki-electronic.com

11. Computer Keyboard Monitoring: product range. - Italy, Torino, B.E.A. S.r.l., 2007. -Р. 35-37.

12. KeyDevil Keylogger. [Электронный ресурс]. - Режим доступа: http://www.keydevil.com/secure-purchase.html .

13. Kuhn Markus G. Compromising emanations: eavesdropping risks of computer displays. [Электронный ресурс]. - Режим доступа: http://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-577.html .

14. Security and surveillance products. [Электронный ресурс]. - Режим доступа: http://endoacustica.com/index_en.htm .

15. Wireless controlled keylogger. [Электронный ресурс]. - Режим доступа:

Конкурентоспособность организаций многих отраслей экономики напрямую зависит от сохранности их коммерческих секретов - клиентской базы, бизнес-стратегий и закупочных цен. Однако объем конфиденциальной информации в последнее время растет не по дням, а по часам, и выбрать средства защиты от утечки информации становится непросто.

Архитектурно выбор инструментов решения этой задачи определяется ответами на следующие вопросы:

• Какую информацию необходимо защищать (клиентские данные, контакты клиентов, закупочные цены, персональные данные)?
• От кого необходимо защищать информацию (модель нарушителя)?
• Какой сегмент инфраструктуры необходимо защитить - где в первом приближении расположена защищаемая информация (офис, завод, магазин, мобильные устройства)?

В статье последовательно описывается методика анализа и подготовки ответов на приведенные выше вопросы - разработки архитектуры системы защиты от утечки информации.

Какую информацию необходимо защищать?

Стандартный ответ специалиста по ИБ на вопрос «что нужно защищать» будет содержать три аспекта - конфиденциальную информацию, чувствительные данные, коммерческую тайну. Однако необходимо уточнить, что в каждом конкретном случае ответ на данный вопрос определяется тем, какую информацию предприятие рассматривает для себя в качестве имеющей высокую ценность. Для какой-то компании это может быть клиентская база, для другой - геопозиционная информация, и, наверное, для всех предприятий - это информация, связанная с их финансовой деятельностью.

При этом любое предприятие - это совокупность бизнес-подразделений и сервисных служб, руководители которых могут помочь специалисту по ИБ понять, что именно ценно для предприятия, какая конкретная информация. Например, для электросетевой компании с точки зрения финансовой службы необходимо защищать структуру себестоимости тарифа, а с точки зрения кадровой - информацию о компенсациях (зарплатах и бонусах), а также базу резюме.

После формирования общего видения, что будет отнесено к ценным данным, необходимо перейти к классификации существующего на предприятии массива данных. Снизить трудоемкость и повысить качество выполнения этого этапа работ позволяют широко представленные на рынке средства автоматизации класса Data Classification Application (или «паук», «краулер») - Digital Guardian, Forcepoint, Varonis IDU Classification Framework, Titus, Classifier360 и другие. Указанные решения обеспечивают поиск и классификацию массива данных предприятия по заданным критериям и часто используются в качестве одного из элементов комплекса средств защиты от утечек информации.

Основными принципами классификации данных являются:

• контентный анализ содержимого файлов на предмет ключевых слов (номера кредитных карт, номера договоров, данные геопозиционирования и т. п.);
• контекстный анализ (отправитель письма, дата создания и автор документа и др.);
• пользовательская классификация данных, когда присвоение меток данным, подлежащим защите, выполняется вручную.

Эту структуру данных необходимо зафиксировать во внутренних документах предприятия - описать уровни конфиденциальности чувствительной информации (перечень сведений конфиденциального характера) и определить методологию работы с этой информацией - разработать политики обеспечения информационной безопасности, регламенты работы с конфиденциальной информацией.

Ключевым элементом, обеспечивающим эффективность защиты предприятия от утечек информации, является информирование сотрудников о составе конфиденциальной информации и правилах работы с ней. Один из крупных инвестиционных фондов с активами свыше миллиарда долларов потерял контроль над конфиденциальной финансовой отчетностью, просто не доведя правила безопасности до ключевого сотрудника: отдел безопасности думал, что правилам работы с конфиденциальной информации обучает HR, а HR - что отдел безопасности. Тем временем, сотрудник унес жесткий диск домой. О данном инциденте никто бы и не узнал, это выяснилось только в процессе аудита эффективности ИТ-функций компании.

Современным подходом к задаче обучения и контроля знаний сотрудников является использование специализированных программ повышения осведомленности пользователей (например, такие решения имеются у компаний UBS, Kaspersky Lab, «Ангара Технолоджиз Груп» и др.). Обучение и контроль знаний сотрудников предприятия осуществляются интерактивно, в формате видеоуроков и тестов, а также викторин и квестов - для пользователей с высоким уровнем доступа к информации.

От кого необходимо защищать информацию?

Внешний нарушитель

Базовый подход к защите от внешнего нарушителя - это создание защищенного периметра предприятия, как информационного, так и физического. Технические средства первой необходимости - это система контроля и управления доступом (СКУД) и система видеонаблюдения, которая является незаменимым инструментом в расследовании инцидентов.

Особое внимание нужно обратить на корректное уничтожение документов на бумажном носителе. Как ни странно, не все компании используют шредеры на местах работы сотрудников: в одной крупной компании проводились обязательные тренинги и тестирования по вопросам хранения и передачи конфиденциальной информации, были введены в действие регламенты информационной безопасности, проводилась политика «чистого стола» и «закрытых ящиков». Однако в качестве системы уничтожения документов использовались картонные ящики, которые раз в неделю направлялись в промышленные шредеры. Таким образом, в периоды наполнения ящиков в них можно было найти ценные документы любого вида: договоры, счет-фактуры, конфиденциальные письма и т. д.

В качестве основных составляющих информационно защищенного периметра предприятия можно выделить наличие средств сетевой защиты и управления уязвимостями.

Российские предприятия используют три основных вида средств сетевой защиты :

• Межсетевые экраны, а точнее, NGFW или UTM-решения (Check Point NGTP, Palo Alto NGFW, Fortinet FortiGate и др.). Современные межсетевые экраны уже имеют минимальные DLP-движки, позволяющие выявлять утечки по настроенным шаблонам.
• Функция Web-контроля трафика - как отдельный шлюз или в составе NGFW (Blue Coat SG, McAfee WGW, Cisco WSA, Check Point NGTP, Palo Alto NGFW, Fortinet FortiGate и др.). В частности, полезно будет запретить использование сервисов Google (Disk, Gmail), mail.ru, yandex.ru, по крайне мере, на операцию выгрузки файлов (upload). В том числе, необходимо выполнять мониторинг действий пользователей в интернете, лимитировать объемы закачиваемой информации.
• Если предприятие использует корпоративный портал для хранения конфиденциальных документов, имеет смысл обратить внимание на решения класса Web Application Firewall (WAF) (например, такие решения имеются у компаний: Imperva, F5 Networks, A10 Networks, Positive Technologies, «Код Безопасности» и др.).

Управление уязвимостями - процесс, крайне важный для построения защищенной инфраструктуры: последние события с вирусом WannaCry и, особенно показательно, с вирусом Petya (по сути, он эксплуатирует ту же уязвимость) недвусмысленно напомнили об этом. Да, защита от вирусов-шифровальщиков ближе к области решений по защите от потери данных, чем к краже информации. Однако, например, процесс управления обновлениями программного обеспечения (Patch Management), в целом, усложнит принципиальное проникновение в информационный периметр предприятия, независимо от его цели.

Внутренний нарушитель

Защита от внутреннего нарушителя - очень актуальная и многогранная тема, которой посвящены сотни статей и исследований. В данной публикации отметим, что для эффективной защиты от утечки важной для предприятия информации необходима разработка модели внутреннего нарушителя информационной безопасности, учитывающей как минимум следующие параметры: имеет ли нарушитель легитимный доступ к данным, какие права он имеет (ограниченные или привилегированные), тип доступа к данным - только из корпоративной сети или также извне, с каких устройств возможен доступ (персональный компьютер, мобильные устройства), характер действий (умышленный или неумышленный).

Среди перспективных средств защиты от внутреннего нарушителя - не столько всем известные DLP, сколько современные средства поведенческого и событийного анализа - UEBA (User and Entity Behavioral Analysis), SIEM (Security Incidents and Event Monitoring).

В одном из коммерческих банков топ-50 (с международным капиталом), отчаявшись найти решение по карману, служба ИБ заменила DLP комплексом из SIEM, NGFW и средства по защите конечных точек (Endpoint Protection).

Какой сегмент инфраструктуры необходимо защитить?

Как и всякая изменяющаяся «живая» сущность, данные имеют свой жизненный цикл и свой путь в инфраструктуре, а именно:

• хранение и обработка данных в ЦОД или облачном ЦОД;
• хранение и обработка данных на персональном компьютере пользователя, передача между ЦОД и компьютером пользователя;
• хранение и обработка на мобильном устройстве пользователя, передача на мобильное устройство пользователя.

Защита данных в ЦОД

Ни о какой защите не может быть и речи, если нет основных мер по контролю доступа к ресурсам ЦОД. Это возможно осуществить с помощью следующих базовых средств:

• Микросегментация серверного сегмента и гранулированное разграничение доступа к нему - здесь помогут концепции SDN или более актуальная сейчас TrustSec, реализация внутреннего NGFW (в том числе виртуальные реализации).
• Аутентификация при осуществлении доступа к ресурсам, желательно двухфакторная (RSA, JaCarta, Рутокен и др.).
• Авторизация пользователя на доступ к корпоративным ресурсам: здесь можно рассмотреть глобальные системы IDM и SSO - системы наделения пользователей правами в зависимости от присвоенных им ролей, с прозрачным «наследованием» учетных данных между информационными системами. Данные системы позволяют в том числе сократить количество ошибок, обусловленных «человеческим фактором», когда пользователю назначается больше прав, чем ему необходимо, или ошибок, связанных с несвоевременным удалением отозванных прав.

По достижении определенного уровня «зрелости» возможно использовать и решения на прикладном уровне:

• Реализация концепции Virtual Data Room (VDR) - структурированное хранилище данных с реализацией гранулированного доступа к контейнерам документов или непосредственно самим документам. Как правило, интерфейс для пользователя представляет собой web-портал с виртуальным кабинетом, откуда пользователь получает доступ к документу. Самые известные варианты реализации - Microsoft SharePoint, портал Google Docs.
• Database Activity Monitoring and Prevention (DAM/DAMP) - система аудита и контроля действий с базой данных, фактически контроль запросов в базу данных. Система позволяет отслеживать, а в случае с DAMP и блокировать нелегитимные запросы в базу данных. Таким образом, возможно контролировать, не получает ли пользователь не требующийся ему для работы доступ в базу, не выполняет ли он регулярный запрос по записям, которые не нужны ему в работе. Данная система позволяет контролировать привилегированных пользователей базы данных, отслеживать на предмет утечек или блокировать осуществляемые ими выгрузки данных.
• Database Encryption - вариант более защищенный от нелегитимного пользователя с точки зрения хранения данных, чем DAM(P). В данном случае записи в базе хранятся зашифрованными, работа с ними производится через интерфейс преобразования, и поэтому кража данных нелегитимным пользователем не позволит ему их прочитать. Варианты шифрования: вся база полностью, выделенные таблицы базы, выделенные записи. Обратная сторона такого средства защиты - прямое влияние на производительность базы данных.
• Unstructured Data Management (UDM) - решение, направленное на управление данными на файловых хранилищах, порталах и других неструктурированных источниках. Иногда при использовании UDM пользователь не работает напрямую с данными, а получает доступ через интерфейс UDM-системы. В других случаях UDM выполняет поиск конфиденциальной информации, организует управление конфиденциальной информацией в соответствии с корпоративной политикой безопасности и помогает понять, «кто ел из моей миски», в сложных конфликтных ситуациях.

Безопасность в бизнес-процессах

Особую сложность в реализации представляет контроль информационных потоков и перемещения информации при хранении, обработке и передаче информации пользователями. Пользователи не всегда соблюдают правила ИБ (а то и вовсе игнорируют их), правила документооборота (грифы, метки и другие механизмы маркирования), а также хотят, чтобы сервисы и оборудование работали без задержек. Для выполнения перечисленных требований предприятия применяют три класса специализированных технологий (наборов технологий):

• Data Leak Prevention (DLP), причем DLP выступает скорее не как продукт, а как комплекс решений. Контролировать утечки необходимо на всем пути следования данных между компьютером пользователем, по всем каналам передачи данных - это и почта, и web, и внешние устройства хранения. Необходимо также контролировать отсутствие на компьютере пользователя запрещенных программ, например, программ шифрования, или подключений внешних usb-модемов. DLP-системы могут отслеживать утечки через канал корпоративной, контролируя ключевые слова, теги документа, его метаданные. Аналогично отслеживаются утечки через web-канал с обязательным раскрытием SSL-трафика (потребуется интеграция с web-шлюзом). DLP-система должна иметь агентское программное обеспечение, отслеживающее перемещение файлов на файловой системе пользователя. Иногда установку DLP-системы осуществляют в режиме «тихого мониторинга», незаметно для пользователя. В этом случае пользователя, который решил забрать с предприятия интересующие его данные, проще обнаружить, так как он, как правило, пользуется для своих целей простыми средствами.
• Без использования комплексного подхода к обеспечению информационной безопасности внедрение DLP-системы может не принести ожидаемых результатов. Например, если пользователи имеют возможность копировать информацию на USB-носители или передавать зашифрованные архивы по электронной почте, то утечка документов, даже с внедренной системой DLP, обнаружена не будет. Именно такая ситуация сложилась во время пилотного проекта внедрения DLP-системы у одного из ритейлеров розничной сети.
• Решения класса Information Rights Management (IRM) / Digital Rights Management (DRM) осуществляют контейнеризацию каждого защищаемого документа индивидуально. Таким образом, информация о правах доступа, ключах шифрования документа привязывается непосредственно к самому документу. Поэтому даже если документ попадет в чужие руки, он не будет вскрыт и прочитан. С точки зрения защиты документа данное решение выполняет свою задачу практически в любом варианте его кражи. Недостатком таких решений является сложность их внедрения, как технические (требования к компьютерам пользователей, доступности серверов авторизации), так и организационные (необходимо обучить сотрудников работе с системой, корректному назначению прав, требуется осуществлять поддержку системы).
• Для мобильных пользователей с высоким уровнем доступа к ценным документам лучше всего использовать полное шифрование файловой системы ноутбука - Full Disk Encryption (FDE). Тогда забытый в аэропорту ноутбук не станет «катастрофой» для компании. В прессе появлялись сообщения о том, что Национальное управление по аэронавтике и исследованию космического пространства (NASA) потеряла уже 4 ноутбука с данными о космических программах и десятках тысяч сотрудников.

Защита от утечек при работе привилегированных пользователей - это в первую очередь решения класса Privileged User Management (PUM), реализующее «проксирование» работы привилегированного пользователя с целевой системой. В рамках работы системы возможно контролировать вводимые пользователем команды, блокировать запрещенные действия и протоколировать буквально видеосъемкой все выполняемые пользователем действия. Также в целях контроля и ограничения полномочий привилегированных пользователей используется упомянутое выше решение DRM или маскирование данных в базе данных.

Безопасность мобильных вычислений

В 2017 году нельзя не упомянуть еще один важный контекст работы с ценными документами - мобильные телефоны и планшеты. На первый план выходят вопросы защищенной публикации данных в интернете и хранения данных на устройствах пользователей. Перечислим основные решения, которые успешно применяются российским бизнесом в данном контексте:

• SSL-порталы - многие производители шлюзов NGFW или Web-GW предлагают реализацию программных модулей - web-порталов, реализующих, во-первых, SSL-шифрование, во-вторых, аутентификацию и авторизацию пользователя при подключении, журналирование действий пользователя, и, что самое важное в данном случае, - реализацию мобильного клиента для работы с порталом и полученными через него документами. Варианты реализации включают как решения, осуществляющие только защиту данных при передаче, так и решения с минимальной защитой данных также при хранении на устройстве, включая контейнеризацию и запрет доступа к файлам внешних мобильных приложений, аутентификацию пользователя при доступе к документам и, в ряде случаев, шифрование контейнера с данными (Check Point Сapsule).
• Решения класса Mobile Device Management (MDM): если с мобильных устройств пользователей доступна работа с ценными документами и на предприятии используется концепция BYOD (Bring Your Own Device), то внедрение MDM-системы представляется очень актуальным.

Выводы

Утечка ценной информации влечет за собой не только финансовые, но репутационные потери для предприятия, которые оценить в денежном выражении часто не представляется возможным. Поэтому внедрение на предприятии решений по защите от утечек информации требует не только комплексного подхода и тщательной технической проработки, но и стратегического видения и поддержи руководства компании. Если компания собирается занимать ведущие места на рынке и работает с прицелом на долгосрочное развитие, ей следует подумать о защите своих секретов.

Однако защита может не стоить охраняемых секретов, а то и вовсе быть бесполезной, если осуществляется бессистемно, без тщательного планирования системы защиты от утечки конфиденциальной информации предприятия.