Журнал "Information Security/ Информационная безопасность" #1, 2024

Использование стандарт- ных технологий, таких как настройка политик защиты данных с применением регу- лярных выражений или спе- циализированных словарей, недостаточно эффективно. На BIS Summit 2023 в рамках мероприятия, посвященного вопросам защиты данных от уте- чек, обсуждался инно- вационный подход к защите персональных данных. Его идея заключается в про- активном реагировании на угро- зы и предотвращении утечек. Эксперты, включая представи- телей ФСТЭК России, депутатов Госдумы, сотрудников Роском- надзора и представителей биз- неса, отметили, что утечка данных по-прежнему представляет серь- езную опасность как для отдель- ного человека, так и для бизнеса, и не согласились с утверждения- ми об обесценивании утечки. Даже если взять в пример одну их самых зрелых с точки зрения ИБ-процессов отрасль – финансовую, увидим, что коли- чество утечек за весь 2023 г. возросло на 79,5%, а на терри- тории России – на 12,3%, соглас- но анализу экспертно-аналити- ческого центра InfoWatch. Общее число утекших записей персо- нальных данных в финансовом секторе оценивается более чем в 4,3 млрд, из которых 170 млн относятся к российским финан- совым организациям. Разберемся, почему сложно защитить персональные данные Инструментом, традиционно используемым для защиты дан- ных от утечек, являются DLP- решения, однако не все из них эффективны на практике из-за частых ложных срабатываний. В качестве иллюстрации можно привести два сценария, часто возникающих на практике. Кейс 1: подписи в письмах DLP-системы традиционно счи- таются одними из наиболее эффективных инструментов в предотвращении утечки инфор- мации. Однако даже они могут столкнуться с проблемами на практике, например с неспособ- ностью различать письмо с под- писью сотрудника и письмо с кон- фиденциальными данными кли- ента (рис. 1). InfoWatch Traffic Monitor, в отличие от традиционных DLP- систем, определяет отправку чувствительной информации за периметр не только по содер- жанию, но и по контексту их передачи, а также устанавли- вает правильность передачи данных адресату. Это позволяет идентифицировать конкретные персональные данные конкрет- ного клиента и проверять леги- тимность их отправки. Но ведь традиционные DLP должны справляться с такой задачей! Увы. Использование стандартных технологий, таких как настройка политик защиты данных с применением регуляр- ных выражений или специали- зированных словарей, недоста- точно эффективно для решения данной задачи. Перечисленные методы являются чрезмерно тру- доемкими в настройке, особенно когда защищаемая клиентская база (база партнеров, закупоч- ные цены), содержит миллионы записей, ведь требуется создать соответствующее количество правил. С увеличением объема клиентской базы или номенкла- туры создание, а главное, под- держание в актуальном состоя- нии такого количества правил для защиты данных становится практически решаемой задачей. Кейс 2: предложения клиентам Другой сценарий, в котором традиционные DLP-системы не способны качественно справить- 50 • СПЕЦПРОЕКТ Защита персональных данных по контексту передачи или по содержанию? Инновационное решение InfoWatch Traffic Monitor ожноположительные срабатывания в работе DLP всегда являются серьезной угрозой эффективности. Частично снизить их уровень можно за счет корректной настройки системы, но иногда ложные срабатывания – следствие использования в DLP алгоритмов, не подходящих для решения требуемых бизнес-задач. Такие случаи стали драйвером для внедрения в систему InfoWatch Traffic Monitor принципиально нового подхода к определению утечек. Л Рис. 1. Случай, когда только по содержанию DLP не может определить факт нарушения Рисунок: InfoWatch Фото: InfoWatch Александр Клевцов, руководитель по развитию продукта InfoWatch Traffic Monitor