Журнал "Information Security/ Информационная безопасность" #5, 2019

ILD-система может рабо- тать как автономно, так и в качестве интеграционного решения для систем элек- тронного документооборота. Еще один вариант внедре- ния – облачной. В этом слу- чае система разворачивает- ся на инфраструктуре раз- работчика и к ней предо- ставляется доступ через Интернет. Такой вариант допускает и автономную работу, и интеграцию. Системы класса ILD поз- воляют дополнить суще- ствующие средства безопас- ности, которые уже установ- лены и используются в ком- паниях, и значительно повы- сить уровень защиты от утечки конфиденциальной информации. ную защиту от возможных утечек информации, в частности UAM (User Activity Monitoring) и IRM (Information Rights Management). Системы класса UAM обеспечи- вают мониторинг активности пользователей и позволяют оста- навливать нежелательные опе- рации (запуск нерегламентиро- ванного ПО, отправку на печать, создание снимка экрана и т.д.), определять опасные сайты, бло- кируя соединение с ними, выво- дить предупреждения и уведом- лять администраторов о нару- шениях. DRM и IRM – средства защиты, ограничивающие использование определенных файлов. Например, с их помо- щью можно запретить открывать файл на несанкционированных устройствах или вообще совер- шать с ним какие-либо действия, кроме просмотра. Персональная ответственность за каждый документ К сожалению, все перечис- ленные выше средства защиты бессильны в ситуации, когда речь идет об утечке конфиден- циальных данных, к которым злоумышленник легально полу- чил доступ. В частности, эти системы никак не могут пред- отвратить фотографирование легально распечатанных доку- ментов или экрана с открытым секретным документом на теле- фон. Между тем уже достаточно большая часть утечек прихо- дится на визуальные данные и бумажные документы, которые приобретают особую ценность в век, когда любая электронная информация может быть легко сфальсифицирована. Недаром, пожалуй, самый скандальный проект нового тысячелетия, свя- занный с утечками информа- ции, – WikiLeaks – оперирует именно фотографиями и ска- нами бумаг с идентифицируе- мыми подписями и печатями. До недавнего времени компа- нии были лишены технических средств контроля, способных отследить источник утечки ана- логовых документов и их фото- копий, и довольствовались лишь превентивными организацион- но-дисциплинарными мерами и классическими методами рас- следования в случае соверше- ния кражи данных. Но появление систем класса ILD (Information Leaks Detection) позволяет закрыть существовавшую брешь в периметре информационной безопасности. Одним из приме- ров систем подобного класса является решение EveryTag. Алгоритм работы EveryTag В основе работы EveryTag Information Leaks Detection (ILD) лежит запатентованный алго- ритм преобразования документа в персонализированную копию при каждом обращении к ориги- налу. Принцип прост: система создает уникальную копию каж- дого документа в момент его открытия на экране или отправки на печать. Персонализирован- ный для каждого сотрудника документ не содержит специ- альных символов, каких-либо меток или прочих артефактов, заметных глазу, но в каждой строке, в каждом элементе доку- мента, от шапки и текста до оттиска печати, рукописной под- писи и следа от дырокола, содер- жится информация, идентифи- цирующая владельца такой копии. В таком варианте доку- мента осуществляются сдвиги слов, букв, изменение полей, которые и образуют персонали- зированную копию. Хотя вне- сенные изменения затрагивают каждый элемент на странице, человеческому глазу не под силу их заметить, поэтому неинфор- мированный пользователь даже не догадается о том, что имеет дело не с оригиналом. Исходники документов и ключи, позволяю- щие идентифицировать каждую сделанную копию и определить ее "владельца", сохраняются в программе. Новое решение хотя и не "ловит" злоумышленника за руку в момент кражи, зато позволяет гарантированно уста- новить источник утечки инфор- мации, выступая весомым сдер- живающим доводом против самого совершения преступле- ния. Более 205 трлн комбинаций страницы А4 обеспечивают отсутствие двух одинаковых модификаций, поэтому при рас- следовании утечки достаточно поместить скомпрометирован- ный документ в систему и узнать, кому он принадлежит. Для идентификации достаточно небольшого обрывка документа, пусть даже грязного или с исправ- лениями. При этом хранилище данных ILD-системы занимает очень мало места, так как каждый файл с ключом "весит" всего несколько килобайт. Высокая интегрируемость Преимуществом технологии является ее способность интег- рироваться с корпоративными почтовыми ящиками, порталами, СЭД и иными внутренними сер- висами, которые работают с документами. Если для них уже настроены шаблоны и правила (например, касающиеся опреде- ления конфиденциальной инфор- мации), то ILD может использо- вать их же, чтобы заменять копиями только документы, кото- рые "опознаны" как секретные. ILD-система может работать как автономно, так и в качестве интеграционного решения для систем электронного докумен- тооборота. Еще один вариант внедрения – облачной. В этом случае система разворачива- ется на инфраструктуре разра- ботчика и к ней предоставляет- ся доступ через Интернет. Такой вариант допускает и автоном- ную работу, и интеграцию. Сценарии внедрения Несмотря на то что ILD-систе- мы не защищают информацию непосредственно от кражи сотрудниками, существует несколько сценариев использо- вания, которые определяются внутренней политикой компании и обеспечиваются организа- ционными мероприятиями, выполняемыми при внедрении системы. Первый сценарий предпола- гает информирование сотруд- ников о внедрении и гарантии обнаружения источников утеч- ки информации. Тот факт, что нарушители будут пойманы и наказаны, оказывает силь- ный психологический эффект и предотвращает потенциаль- ную утечку. В рамках второго сценария сотрудники компании остаются не в курсе внедрения системы. Компания тем временем может организовать инсценировку утечки, чтобы определить потен- циальных нарушителей. В этом случае можно не просто выявить тех сотрудников, кото- рые представляют угрозу для компании, но и оптимизировать стандарты работы с внутренни- ми документами. Системы класса ILD позво- ляют дополнить существующие средства безопасности, которые уже установлены и используют- ся в компаниях, и значительно повысить уровень защиты от утечки конфиденциальной информации. l • 27 ТЕХНОЛОГИИ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru