Утечки конфиденциальной информации почему их все больше и как с ними бороться

Утечки конфиденциальной информации: почему их все больше и как с ними бороться

КАСПЕРСКАЯ Наталья

За первое полугодие 2019 года в мире число утечек конфиденциальных данных выросло на 22% по сравнению с аналогичным периодом 2018 года. В России — на 61%. При этом аналитики, работающие в сфере информационной безопасности и собирающие эти данные, изучают только публичные случаи таких происшествий, которые нашли отражение в СМИ. По их оценкам, в публичное поле попадает не более 1% происходящих в мире утечек.

Но даже по этому проценту, по мнению Натальи Касперской, можно делать далеко идущие выводы — о сущности утечек, их динамике, каналах, о том, как меняются их характер и частота.

Слишком быстрая цифровизация — как причина роста утечек

Мы собираем информацию о таких происшествиях с 2004 года. И все 15 лет видим, что их количество только растет. Причина роста — слишком быстрая цифровизация. Государственные услуги, финансы, медицина, добыча и переработка полезных ископаемых — все это быстро становится цифровым и вместе с новыми возможностями порождает новые угрозы, новые "дыры" в защите корпораций. После этого происходят масштабные "сливы" оцифрованной информации.

Рост их числа хорошо ощутим, если посмотреть на количество утекших записей пользовательских данных (это персональные данные и записи платежной информации). За 2018 год, по данным нашего аналитического центра, в мире утекло 7,28 млрд записей. А за первое полугодие 2019-го уже 8,74 млрд. То есть за половину нынешнего года мы перекрыли показатель всего предыдущего. В процентных показателях это значит, что за первую половину 2019 года утекло на 266% больше записей, чем за первую половину 2018-го. Таким образом, растет не только количество утечек, но и сами они становятся масштабнее, чем раньше.

Ситуация в России

В России в последние три-четыре года динамика таких происшествий выше, чем была раньше. Думаю, это связано с повышенным вниманием СМИ и общества к этой теме. Важность защиты информации становится все более очевидной для различного рода организаций, а не только для банков и спецслужб.

Личные данные россиян в Сети:

Но вообще, в разных странах разная корреляция предполагаемой картины утечек с набором инцидентов, попадающим на страницы прессы. Например, в англосаксонских странах существуют законы, согласно которым компании обязаны оперативно уведомлять органы о допущенных утечках. Именно поэтому США занимают в мировом распределении утечек львиную долю. Российское законодательство не требует раскрытия этих данных, так что у нас в публичное поле попадает намного меньший процент таких происшествий, чем в США.

По нашему опыту, "призма прессы" может преломлять картину утечек по-разному. Например, находясь в России, мы будем получать более полную картину сообщений о них на русском языке по сравнению с сообщениями из немецких или китайских источников. В результате Россия в отчетах отечественных аналитиков будет стабильно занимать второе место. Если бы мы работали в Германии и внимательно изучали немецкие источники на предмет "слива" информации, то на втором месте вполне могла быть Германия. Таким образом, статистика регионального распределения несколько искажена. Но зато в каждом отдельном регионе мира картина будет довольно точной для данного региона.

Мы делали детальные отчеты для разных регионов мира и выяснили, что динамика утечек конфиденциальной информации в разных странах отличается не слишком сильно. Потому что ключевые бизнес-процессы в корпоративном мире похожи (производство, маркетинг, продажи, работа с клиентами), набор основных угроз информационной безопасности тоже различается не очень существенно, а возможности систем защиты информации в разных регионах мира, по сути, почти на одном уровне.

Преднамеренно или нет

По нашим данным, виновниками 39,3% утечек в мире в 2018 году стали внешние злоумышленники. В первой половине 2019 года число случаев компрометации данных по их вине выросло уже до 46,3%. В этом смысле картина в России резко отличается. Так, за прошлый год в нашей стране по вине внешних злоумышленников произошло всего около 10% утечек, а в первом полугодии 2019 года эта цифра выросла до 14%. Получается, что в России по вине хакеров и взломщиков компрометируется намного меньше чувствительных данных, чем в мире. Это означает, что большая часть таких происшествий в нашей стране идет через внутренних сотрудников.

При этом аналитика, отображающая типы намерений злоумышленников, несет в себе определенное лукавство. Потому что каждая утечка там относится лишь к одной категории — "внутренней" или "внешней". На практике же все сложнее: часто внешний злоумышленник, которому нужна конфиденциальная информация, вступает в сговор с внутренним "сотрудником-мерзавцем", и они вместе ее воруют.

Однако в аналитических отчетах эта утечка, как правило, попадает лишь в одну категорию — "внешнюю" или "внутреннюю". В зависимости от того, куда ее отнесет конкретный аналитик или конкретное СМИ. Поскольку на Западе (в США и Великобритании) законы предписывают публиковать факт утечки, то компании, потерявшие информацию, всячески стремятся изобразить это как акт внешних "злых хакеров". В России такого требования нет, поэтому и статистика более релевантна.

Защита от утечек

От непреднамеренных утечек организации хорошо защищают DLP-системы (Data Leakage Prevention — с англ. "предотвращение утечки данных"). Например, от действий человека, который, не задумываясь, отправляет куда-то конфиденциальные документы или печатает их на общем принтере. Система перехватывает такие документы и просто не дает их отправить или напечатать. Но если речь идет о преднамеренной утечке, тут одного средства DLP недостаточно. Потому что злоумышленник, прежде чем совершить кражу данных, внимательно изучает систему защиты. И в итоге хорошо понимает не только то, как она работает, но и как ее обойти. Например, использует канал, который многим даже в голову бы не пришел, — копирует чувствительную информацию и оставляет ее в буфере обмена на рабочем ноутбуке, а дома вытаскивает.

Источник



Успешные методы внутренней борьбы с утечками информации в вашем офисе

Результаты исследований причин утечек конфиденциальной информации в различных странах вот уже несколько лет представляют собой одну и ту же картину: на первом месте (64% от общего числа разглашений защищаемой информации) среди источников утечек всегда стоит внутренний нарушитель — то есть человек, обладающий легитимным правом доступа на территорию компании, которая становится его жертвой.

В 50% случаев — это рядовой сотрудник такой компании, не обладающий набором привилегированных (административных) прав доступа к информационным системам.

В 70% случаев происходит раскрытие персональных данных — одного из охраняемых федеральным законодательством вида конфиденциальной информации.

Длящаяся вот уже несколько месяцев пандемия коронавирусной инфекции 2019-nCoV внесла свои коррективы в режим работы компаний практически во всех отраслях: теперь многие сотрудники работают удаленно, что ещё больше увеличивает риск утечек информации.

Среди самых распространенных каналов утечек данных следует отметить следующие:

  • Электронная корпоративная почта;
  • Интернет: web-почта, социальные сети, форумы, облачные хранилища;
  • Голосовые сообщения: Skype;
  • Системы мгновенных сообщений: WhatsApp, Skype, Microsoft Lync, Jabber, Mail.ru agent, ICQ;
  • Файловые хранилища: протокол FTP;
  • Периферийные и внешние подключаемые устройства: мобильные устройства, съемные носители flash, hdd и иные;
  • Задания на печать: локальные и сетевые.

С контролем и защитой всех указанных каналов отлично справится грамотно настроенный инструмент – DLP (сокращение от «Data Leak Prevention»), который представляет собой систему, осуществляющую в режиме реального времени обнаружение и предотвращение нежелательной передачи конфиденциальной информации по различным каналам (как внутри компании, так и за её пределы), а также контроль таких действий на конечных устройствах пользователей.

Наиболее часто DLP – системы применяют для контроля потоков данных в почте, web-почте, при использовании сотрудниками (в т.ч. с помощью средств обхода корпоративных средств блокировки доступа, например, с помощью VPN) внешних хранилищ данных, внешних жестких дисков и flash-накопителей, социальных сетей, форумов, сайтов поиска работы, развлекательных и запрещенных сайтов

Помимо указанных выше каналов есть ещё несколько и, несмотря на то, что их гораздо меньше, — контролировать их гораздо сложнее:

  • Фотографирование экрана с конфиденциальной документацией;
  • Фотографирование или кража распечатанных документов.

Первый способ контроля — это запретить на рабочем месте использование любых мобильных устройств, оснащённых камерой, а также установка видеонаблюдения на всей территории компании (в т.ч. на рабочих местах, что влечёт за собой определённые трудности) — такой метод подойдёт разве что государственному предприятию со строгим режимом обработки информации, а не коммерческой структуре.

Более эффективным может стать использование платформы маркирования документов, например, такой как Docs Security Suite (DSS).
DSS принудительно проставляет визуальные и/или скрытые метки конфиденциальности на документы (как электронные, так и распечатанные), регистрирует все действия пользователя с документом, прослеживает взаимосвязь документов, разграничивает и контролирует права доступа пользователей на основе матрицы доступа меток конфиденциальности.

Читайте также:  Обзор механической клавиатуры Canyon Hazard CND SKB6

Таким образом, даже если произойдёт утечка фотографий, то на основании меток и истории работы с документом, которая сохраняется в базе данных DSS для дальнейшего анализа и расследования инцидентов, можно будет с высокой долей вероятности узнать источник утечки.Также данный продукт отлично интегрируется с DLP, что позволит отслеживать потоки документов с метками конфиденциальности по всем указанным ранее каналам.

При защите конфиденциальной информации хорошей практикой является использование комплексного подхода — то есть комбинация организационных и технических мер, например, таких как:

  • Проведение аудита процессов обработки конфиденциальной информации и инфраструктуры, задействованной в таких процессах, на соответствие требованиям законодательства, отраслевым стандартам и внутренней документации по информационной безопасности;
  • Разработка/доработка комплекта организационно-распорядительной документации, описывающей цели, требования и процедуры по защите информации;
  • Проектирование и внедрение системы защиты информации, которая может состоять из следующих модулей: идентификация, аутентификация, авторизация пользователей (SSO, OTP, биометрия), управление учетными записями (IdM), защита конечного оборудования (антивирусы, аппаратные замки), сетевая безопасность (межсетевые экраны, VPN, песочницы), инфраструктура открытых ключей (УЦ, HSM), защита виртуальных сред (VMsec), управление инцидентами (SIEM, IRP), патч-менеджмент, защита от утечек (DLP), безопасность мобильных устройств (MdM), защита доступа в интернет (WAF, proxy).
  • Систематическое обучение сотрудников процедурам по защите информации: в том числе политике «чистого стола» и правилам уничтожения бумажных носителей информации;
  • Плановые и внеплановые проверки: тесты на проникновения, моделирование сценариев инцидентов, использование социальной инженерии.

Для контроля внедрённых мер защиты самым удачным подходом будет проведение ежегодных аудитов (своими силами или с привлечением лицензиата ФСТЭК России по технической защите конфиденциальной информации), а также совершенствование системы защиты информации, исходя из выявленных во время аудита недостатков, после регулярного моделирования угроз и на основании оценки рисков.

Источник

Основные каналы утечки информации на предприятии

Аватар пользователя Анна Михайлова

Мировая статистика годами демонстрирует рост количества случаев утечки данных. Это вызвано диджитализацией экономики и переходом на новый уровень понимания ценности цифровых технологий, ресурсов и знаний для эффективного ведения бизнеса и обеспечения конкурентоспособности небольших компаний и производств, а также корпораций и государств в целом. За последние два года особенно выросло количество утечек, связанных с политической деятельностью стран — вспомним ход громких предвыборных кампаний 2016 года.

Введение

По словам аналитиков, к традиционным лидерам по количеству утечек — финансовый сектор и ритейл — добавились другие индустрии, IT-компании и государственные организации (Отчет «Глобальное исследование утечек конфиденциальной информации в 2016 году» компании Infowatch, отчет «Утечки конфиденциальной информации в России и в мире. Итоги 2016 года» компании Zecurion.). Кроме очевидного, но сложно измеримого вреда деловой репутации, аналитиками отмечены и более понятные негативные последствия утечек — отмена сделок, компенсация ущерба третьим лицам, затраты на судопроизводство.

Каналы утечки информации крупно по типам реализации можно разделить на два основных вида — физические и информационные. Информационные каналы по объему и вероятности потенциальной утечки превосходят возможности физических каналов. Тем не менее, возможная потеря от раскрытия небольшого по объему информации, но важного секрета может принести предприятию не меньше вреда, чем потеря нескольких гигабайтов персональных данных. В том числе поэтому многие предприятия сейчас равнодушно относятся к возможности отслеживания передачи больших объемов информации — их интересует больше состав информации и ее качество.

Физические каналы утечки информации

Наиболее распространенный физический канал утечки информации связан с классическим документооборотом — обменом документами внутри организации, с клиентами и поставщиками услуг и товаров, а также архивным хранением. Утечка информации может произойти в результате перехвата документа после его вывода на печать (например, когда принтер главного бухгалтера или генерального директора размещен в общем офисном пространстве), вследствие несвоевременного уничтожения документов (если компания не проводит соответствующего обучения сотрудников и экономит на шредерах), свободного доступа к шкафам с архивными документами (отсутствие сейфов), некорректного переноса и уничтожения документов при переездах или реорганизации компаний и т. п. К сожалению, все эти случаи не относятся к чистой теории, это наблюдения из практики работы топ-10 организаций страны, у которых, казалось бы, все есть, и внутри отстроен полный набор процессов для обеспечения безопасности.

Для пресечения канала утечки информации путем выноса оборудования предприятию необходимо позаботиться об организации безопасного физического периметра, охране доступа в серверные помещения и на объекты, в которых размещаются резервные копии данных и электронных архивов. Еще один печальный пример: ленточную библиотеку, в которой хранились резервные копии одной из основных корпоративных информационных систем, ввиду ее больших габаритов, не удалось разместить в контролируемых серверных помещениях. Поэтому библиотека «условно временно» хранилась в офисной комнате. Частично спасало ситуацию то, что проход в организацию контролировался с помощью СКУД. Однако служба безопасности не учла, что в комнате имелось несколько окон, через которые злоумышленник мог проникнуть и унести несколько лент с данными с собой.

Популярность концепций open space и «бизнес-парк», компактное размещение сотрудников, использование стеклянных перекрытий становится драйвером риска утечки информации по визуальному и акустическому каналам. В данном контексте для защиты информации необходимо обеспечить конфиденциальность работы ключевых сотрудников (выделенные кабинеты, отсутствие людей «за спиной») и изоляцию переговорных помещений. Кроме этого, сотрудники предприятия должны быть проинформированы о недопустимости ведения некоторых типов переговоров вне защищенных зон, например в барах и кофейнях.

Применение высокотехнологичных средств сбора информации — так называемых специальных технических средств (сверхминиатюрных фото- и видеокамер, жучков, средств перехвата электромагнитных и индукционных каналов) обычно направлено на решение специфичных задач и в настоящей статье не рассматривается: намного проще получить нужную информацию, используя вышеописанные уязвимости. Тем более что использование специальных технических средств регулируется Федеральной службой безопасности России, а также статьей 138 Уголовного кодекса Российской Федерации.

Информационные каналы утечки данных

Информационные каналы разнообразны и способны пропустить через себя значительные объемы данных. Основными из них являются:

  • утечки через корпоративную почту, характеризующиеся большим количеством неумышленных случаев раскрытия информации (утечки «быстрой руки»);
  • утечки по web-каналам, включая сервисы обмена сообщениями (IM);
  • утечки через съемные носители;
  • утечки через мобильные устройства.

Утечка данных прямо с серверных компонент возможна при наличии уязвимостей в корпоративных процессах и технологиях:

  • не организована сегментация и фильтрация доступа к системам обработки и хранения данных;
  • не организован контроль доступа к данным — часто пользователь получает больше привилегий при работе с документами, чем необходимо, или некорректно организован процесс предоставления прав доступа к данным;
  • отсутствует контроль привилегированных пользователей.

Утечки данных при использовании персональных компьютеров и мобильных устройств могут быть обусловлены следующими обстоятельствами:

  • потеря мобильного устройства и хранимой на нем информации;
  • подключение пользователем к компьютеру или ноутбуку съемных носителей (флеш, usb-модем, внешний жесткий диск и т. п.) и последующее несанкционированное копирование данных;
  • пользователь с правами администратора может отключить DLP-агент или другой агент мониторинга и отправить интересующие данные удобным способом;
  • при отсутствии контроля за установкой приложений возможна установка криптографического или стеганографического ПО и передача украденных данных даже через фильтрующий DLP-шлюз.

Разнообразны и web-каналы утечки информации:

  • выгрузка данных на один из множества доступных облачных сервисов;
  • пересылка данных через web-mail;
  • организация туннеля до домашних или других внешних ресурсов и выгрузка через него интересующих данных, причем реализация удаленного подключения доступна даже рядовым пользователям в виде расширений для браузеров;
  • отправка данных с помощью сервисов передачи сообщений (IM).

При внедрении на предприятии DLP-решения необходимо учесть ряд нюансов, от которых зависит эффективность защиты:

  • расшифровка SSL — обязательный элемент инсталляции DLP-шлюза, но не все DLP-системы умеют выполнять эту функцию, поэтому часто требуется дополнительное решение для SSL-offload;
  • проработка политик офлайн-режима — DLP-агент должен продолжать работать в режиме активного сканирования также и вне офисной сети;
  • настройка политик не только по регулярным выражениям, но также и по заданным образцам — фингерпринтам (метаданные файла, хэши блоков текста с вероятностным анализом и др.);
  • ограничение использования различных почтовых агентов и web-браузеров, так как DLP-агенты разработаны не для всех вариантов реализации пользовательского программного обеспечения;
  • в случае с мобильными устройствами желательно использование концепции EMM (Концепция Enterprise Mobility Management (EMM) включает в себя следующие компоненты: Mobile device management (MDM), Mobile Application Management (MAM), Mobile Content Management (MCM).) и обеспечение стандартизации мобильных устройств (например, использование только устройств Samsung, так как данная платформа имеет глубокую интеграцию с EMM-системами, отказ от использования мобильных платформ Windows).
Читайте также:  Прошивка и русификация ридера Sony PRS T1

Выводы

Как показывают последние аналитические исследования, актуальными остаются и внутренний, и внешний нарушители. При этом количество преднамеренных и случайных утечек также сопоставимо, и это соотношение не демонстрирует явного лидера.

Многие аналитические источники подчеркивают, что в случае с внешним преднамеренным нарушителем объемы украденных данных выше. Это объясняется сложностью проникновения в информационную среду жертвы и, в случае успеха, большим стимулом завладеть максимально возможным объемом информации.

Большая часть утечек информации, реализованных внутренним нарушителем, связана с личной корыстью и характеризуется более узкой зоной интереса и, следовательно, значительно меньшими объемами похищенных данных.

Каналы утечек, согласно многим исследовательским отчетам (См., в частности, отчет «Глобальное исследование утечек конфиденциальной информации в 2016 году» компании «Infowatch».), сместились в сторону использования web-сервисов. Внутренний нарушитель часто знает о существовании DLP-систем на предприятии и мониторинге почтовых каналов и внешних устройств и поэтому использует web-каналы, которые, в силу их разнообразия, контролировать сложнее.

Большинство аналитических источников констатирует незначительный объем утечки информации через мобильные устройства. Отчасти это связано с ограниченностью доступной на мобильном устройстве информации, а также с внедрением во многих компаниях средств защиты мобильных устройств. Но не принимать в расчет мобильный канал утечек полностью тоже неправильно: степень мобилизации бизнеса растет.

В заключение отметим, что организация эффективной защиты от утечек информации требует комплексного подхода, который предусматривает анализ основных каналов утечки данных, обучение сотрудников предприятия правилам безопасной работы с информацией, реализацию постоянного мониторинга новых угроз, а для масштабных и разнообразных ИТ-ландшафтов — привлечение команд профессиональных исполнителей для проектирования и внедрения решений.

Подписывайтесь на канал «Anti-Malware» в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Источник

Каналы утечки данных

Под утечкой данных подразумевается ситуация, когда ценные сведения становятся доступны широкому кругу лиц или нескольким людям, которые не должны иметь доступ к этим сведениям.

Такая ситуация может возникнуть по разным причинам. Чаще всего под «утечками» мы понимаем инциденты, в которых замешаны сотрудники пострадавшей организации. Они могут или специально украсть и передать информацию, или разгласить ее по неосторожности или незнанию. Также утечкой мы называем доступ злоумышленников извне к корпоративной информации. Доступ они могут получить множеством способов — от использования сложного шпионского оборудования до банального копирования информации из незащищенной базы данных.

Сейчас, когда мы говорим об утечках, то преимущественно подразумеваем информацию, существующую в цифровом виде. Но, безусловно, по сей день используются и более традиционные носители — бумажные документы, магнитные ленты и т.д. Эти носители также можно украсть или скопировать, и это также будет утечкой. В конце концов и электронный носитель можно тайно вынести в кубике Рубика.

Однако сегодня подавляющая часть информации все же хранится в цифровом виде. Поэтому мы рассмотрим цифровые каналы утечек данных. Именно они являются сегодня главной мишенью злоумышленников.

Виды утечек информации

Виды утечки информации в 2020 году

Утечки информации бывают преднамеренными и непреднамеренными. Непреднамеренные могут возникать:

— из-за слабых мер защиты или вовсе из-за их отсутствия;

— неявного обозначения конфиденциальности информации (в организации не введен режим коммерческой тайны);

— по причине несоблюдения сотрудниками правил безопасности (недостатки процесса обучения сотрудников).

Преднамеренные утечки являются результатом инсайдерской деятельности сотрудников. Инсайдерам доступна конфиденциальная информация, и по разным причинам у них есть намерение передать ее заинтересованным лицам. Также это называется промышленным шпионажем.

Информацию могут украсть злоумышленники извне. Речь идет о хакерских атаках и использовании злоумышленниками специальных методов и приемов:

— прослушка телефонных линий;

— использование шпионского ПО для копирования информации, регистрации нажатия клавиш, кражи логинов и паролей и т.д.;

— использование оборудования, которое считывает колебания, вызываемые звуковыми волнами, для прослушки разговоров;

— «врезка» в каналы и протоколы передачи данных;

Методов и инструментов для кражи информации придумано множество. Есть такие экзотические, как программа, которая превращает последовательности битов в мерцания пикселей на мониторе. Эти мерцания слабы и незаметны невооруженному глазу, но считываются специальным оборудованием.

Также не стоит забывать, что конфиденциальную информацию могут банально подсмотреть и подслушать, без всякого оборудования.

Три состояния информации и каналы утечек

Три состояния информации

Цифровая информация может находится в трех состояниях:

Информация может храниться в виде файлов или баз данных на локальных компьютерах, серверах или в облачных хранилищах.

Хранящаяся информация может быть скопирована, удалена или модифицирована. Для этого злоумышленник должен получить доступ. Как уже было сказано, это может быть сотрудник компании — инсайдер, или посторонний человек.

Чтобы получить доступ к информации, хакеры могут использовать:

— добытые пароли и логины;

Вредоносное ПО попадает в корпоративные сети и на компьютеры разными путями. Один из самых популярных способов — рассылка зараженных писем. В таких письмах или содержится ссылка, ведущая на зараженный ресурс, или прикреплен файл, в который встроен вредоносный код. Чтобы спровоцировать пользователя перейти по ссылке или открыть файл, письмо может имитировать уведомления из банков или государственных организаций, руководства, извещения о штрафах, выигрышах, неуплатах и т.д.

Также фишинговые письма используются для получения паролей и логинов. В этом случае письмо также может имитировать какое-то уведомление от официального лица и содержать форму для ввода данных.

Стоит сказать, что по статистике очень многим утечкам информации предшествуют целенаправленные фишинговые рассылки.

Вредоносное ПО также попадает на компьютеры вместе с пиратскими программами и файлами, скачанными из зараженных источников.

Некоторые программы, в частности, вирусы-вымогатели, могут устанавливаться хакерами вручную уже после того, как те получают доступ к корпоративной сети.

Чтобы получить пароли и логины, используются самые разные методы — от уже упомянутых фишинговых писем и шпионского оборудования, до совершенно банальных подглядываний и подслушиваний. Часто пароли бывают скомпрометированы, когда сотрудники компании пользуются общественными незащищенными сетями, вроде публичного wi-fi в кафе.

Стоит упомянуть еще один источник пользовательских данных, который используют хакеры. Когда случаются утечки информации, базы с данными клиентов и сотрудников пострадавших компаний оказываются на хакерских форумах. Эти базы выставляются на аукционах за деньги или выкладываются бесплатно. Некоторые такие архивы содержат десятки миллионов записей.

В связи с этим крайне не рекомендуется использовать один пароль для множества сервисов. Если у одного из них случится утечка, скомпрометированный пароль смогут использовать для получения доступа к остальным.

Утечки из незащищенных баз данных

Проводилось исследование, в котором специалисты по информационной безопасности создали базу данных, наполнили ее фейковой информацией и оставили в общем доступе, не защитив паролем. В таком виде она «провисела» 11 дней. Результаты оказались следующими:

— в среднем база была атакована 18 раз в день;

— первая атака случилась через 8 часов после начала эксперимента — еще до того, как база была проиндексирована;

— после индексации специальными поисковиками число атак увеличилось, причем практически мгновенно;

— хакеры пытались узнать информацию о настройках безопасности;

— в конце концов данные были зашифрованы вирусом-вымогателем, и, соответственно, появилось требование выкупа.

Результаты эксперимента ясно показывают, что оставленная без защиты база становится мишенью злоумышленников очень быстро. А случаются такие инциденты нередко.

Получив доступ к незащищенной базе, хакеры могут поступать по-разному. Данные могут быть просто украдены и выставлены на продажу на специальных форумах. Данные могут быть зашифрованы, а за их расшифровку выставлен выкуп. Может быть подсажено шпионское ПО или вирус, который будет тайно выполнять нужные злоумышленникам операции.

Если база находится без защиты продолжительное время, а это всего несколько дней, то очень вероятно, что случится все это вместе взятое.

Бреши в настройках безопасности в 99 случаях из 100 — человеческая ошибка. При этом если подходить к защите облачных баз ответственно, то у облачного хранения есть явные преимущества перед локальными серверами.

Главное преимущество — физический доступ неавторизованных лиц к центрам обработки данных, где находятся сервера, практически исключен.

Второе — компании, оказывающие услуги облачного хранения, делают резервные копии данных, чтобы их можно было восстановить в случае утери или повреждения.

В-третьих, некоторые облачные хранилища шифруют хранимую информацию. Так что даже при получении хакерами доступа к ней, они не могут ее использовать, так как не владеют ключами дешифрования.

Читайте также:  Клавиатура история создания доклад

Стоит упомянуть, что у хранения информации на персональных девайсах есть еще одна негативная сторона — девайсы теряются. В начале 2020 года была опубликована любопытная статистика. Члены британского правительства за предыдущий год потеряли около 2000 мобильных девайсов — ноутбуков, планшетов и телефонов.

Использование технических каналов утечек информации

Часто компании объединяют компьютеры сотрудников и сетевые устройства в локальные сети. В корпоративную сеть входит множество устройств и узлов. Это не только рабочие компьютеры сотрудников. Это также офисная техника — принтеры, сканеры, это сервера для хранения папок и файлов для общего доступа. Вследствие неосторожности сотрудников, инсайдерской деятельности или вторжения извне могут происходить утечки из корпоративных сетей.

Также сеть может быть скомпрометирована вследствие утечки данных из какого-то сервиса, к которому компания напрямую отношения не имеет. Чтобы такого не происходило, как уже было сказано, нельзя использовать одинаковые пароли для всех сервисов. Особенно одновременно для публичных и корпоративных.

Подключение к линиям связи

При помощи программно-аппаратных средств злоумышленники могут подключаться к линиям передачи информации. Так, они могут «прослушивать» телефонную линию или перехватывать данные, используя специальное ПО для контроля протоколов передачи данных. Частично от такого способа извлечения информации может помочь шифрование. Зашифрованные данные не представляют ценности для злоумышленников, так как не могут быть декодированы.

Обнаружить физическое вторжение в канал передачи данных можно при помощи регистрации изменений физических характеристик среды передачи сигнала, а также по изменениям характеристик самого сигнала.

Некоторые средства защиты от утечек информации

Для контроля движения информации, а также предотвращения утечек данных используются различные программные средства. Один из самых распространенных инструментов — DLP-системы. Они состоят из агентов, которые устанавливаются на компьютеры сотрудников, и модулей, отвечающих за контроль и анализ информации, поступающей от агентов. Эти системы помогают предотвращать несанкционированное копирование информации на внешние носители, передачу по почте и через мессенджеры, отправку на печать и даже хранение классифицированных документов.

DLP-система может как блокировать нежелательные действия, так и журналировать их. Выбор стратегии и поведения программы осуществляется на этапе настройки политик безопасности.

При помощи DLP-системы можно не только обнаружить уже свершившийся факт утечки, но и вычислить сотрудника, только намеревающегося разгласить информацию. Для этого используется анализ трафика в мессенджерах и по любым каналам общения. Программа проверяет, использует ли сотрудник имена конкурентов, сотрудников компании, что говорит о руководстве, не ищет ли новую работу. По этим косвенным данным можно судить о том, склонен ли работник к передаче данных и может ли выступить в роли шпиона.

Аппаратные средства используются для контроля физических каналов передачи информации, таких как телефонные линии. Также специальные устройства применяются для сканирования помещений на наличие передающих и записывающих устройств, шпионских приспособлений.

Контентный анализ. Технология, используемая в DLP-системах. Ее суть заключается в том, что в программу закладываются образцы конфиденциальных документов, изображения и ключевые слова. И программа, контролируя почтовые клиенты, мессенджеры и протоколы передачи данных, сравнивает с этими образцами сообщения, которые пользователи отправляют или хранят на компьютерах.

Шифрование — защита информации от утечки путем ее кодирования с помощью специального ключа. Современный протокол передачи данных в интернете https отличается от http именно шифрованием пересылаемых пакетов. Для злоумышленников, сумевших подключиться к каналу передачи, перехваченные сообщения выглядят как бессмысленные последовательности символов, которые невозможно дешифровать, не имея ключа.

Стоит также сказать, что все программно-технические средства защиты от утечек информации лишь помогают ее защищать. Главная же задача состоит в том, чтобы выработать стратегию защиты информации и выработать общие правила в рамках компании. Общепринятая мера для этого — введение режима коммерческой тайны. Лишь совместные действия руководства, менеджмента и сотрудников помогут сохранить корпоративные данные и не ставить под угрозу конкурентоспособность компании.

Источник

Как предотвратить утечки информации с компьютеров в организации

Именно в организации, ибо описанные меры защиты сомнительны для домашнего ПК. Хотя некоторые тоже можно применить.

Что же нужно предпринять, чтобы предотвратить утечку информации?

0. Настроить систему ограничения и контроля доступа к критичным ресурсам.

Сотрудник, не имеющий доступа к конфиденциальным или критичным для бизнеса данным — не может ничего скопировать . А доступ нужно выдавать только тем, кому он нужен, после тщательной проверки обоснований. Периодически проводить аудит кто куда имеет какой доступ.

Профилактика мер предотвращения утечек будет не лишней.

1. Запретить доступ к локальным дискам компьютера

Имеющий доступ к важным данным сотрудник может скопировать их на локальный диск компьютера. А дальше — извлечь его и унести. А вот если доступа к локальному диску нет, то ничего не выйдет.

Давно известна тема использования виртуальных рабочих мест (VDI) и тонких клиентов. В таком компьютере внутри вообще нет никаких дисков , на которые можно что-то сохранить. Вся рабочая среда находится на защищённых серверах.

2. Запретить использование USB портов

Отключить USB порты (разъёмы) — установить режим "только для чтения" . Установить программное обеспечение для централизованного управления портами ввода-вывода (типа DeviceLock ), управляющее доступом к USB устройствам. Для того, чтобы можно было, например, разрешить использование USB аудио гарнитуры, клавиатуры и мышки, но запретить запись на флэшки или использование смартфона, как модема (это ещё один канал утечек).

3. Запретить физический доступ внутрь компьютера

В случае, если доступ к локальным дискам необходим, но нужно защититься от варианта "человек слил данные, на внутренний жёсткий диск и унёс его" , необходимо закрыть возможность проникновения внутрь системного блока. Несанкционированного проникновения. Или хотя бы поставить дополнительный барьер для этого.

Это нужно также для невозможности сбросить пароль на BIOS и включить режим загрузки с внешних носителей. Потому что, загрузившись с флэшки можно получить доступ к внутренним дискам и скопировать с них информацию.

Как предотвратить доступ внутрь?

Это давно известно. Искренне не понимаю, почему это не применяют! Нужно установить замок на крышку компьютера. Типа Kengsington Lock . Или другой, подешевле. Ключи должны быть только у специалистов техподдержки, обслуживающих компьютеры.

4. Предотвратить несанкционированное перемещение компьютеров

Здесь скорее речь идёт о ноутбуках . Понятно, что можно скопировать всё на ноутбук и просто унести его . Но ведь унести его может физически кто угодно. Вот честный сотрудник, который просто оставил свой ноут на столе без присмотра. Мало ли кто может зайти и забрать его с собой, зная, что внутри у него ценная информация. Которая зачастую превосходит стоимость самого аппарата.

Чтобы этого не произошло — стоит пристегнуть компьютер таким же замком, но уже с тросом, который зацепить за что-то более крупное. Например, за стол, за батарею или что-то тяжёлое.

Десктопные компьютеры тоже бывают очень маленького размера . И унести их в сумке тоже довольно реально.

5. Запретить отправку больших объёмов информации по электронной почте

Непонятно почему, во многих организациях нет ограничения на размер исходящих во вне электронных писем. Нет и контроля того, кто и что отправляет. При этом д остаточно большой процент утечек связан с простой возможностью пересылки файлов по 40 мегабайт и более . А это очень значительный объём данных.

Необходимо выдавать возможность использования внешней почты только по подтверждённому запросу и настроить систему фильтрации и мониторинга почтового обмена . Далеко не всем в организации вообще нужна внешняя электронная почта. Личную переписку можно вести на личном компьютере с личного адреса.

6. Зашифровать локальный диск ноутбука

Этот этап защиты от утечек нужен скорее для случая потери портативного устройства или его кражи . Чтобы даже в случае извлечённого жёсткого диска, с него нельзя было считать информацию.

Все помнят громкие публикации об утечках приватных или секретных данных с потерянного секретным агентом ноутбука. Такие случаи повторяются и сегодня. И это звучит ужасно глупо. Ведь можно было просто зашифровать диск .

7. Запретить доступ к облачным хранилищам

Нужно закрыть возможность выгружать что-либо на облачные диски (типа Яндекс.Диск или Google Drive) или почтовые сайты. Умные современные фильтры умеют разрешать заполнение форм, приложение небольших файлов и запрещать остальное.

Доступ на чтение из облачных хранилищ можно оставить. Без этого в наше время сложно.

Статья по теме:

Искренне ваш,
© Иван С.

Поставьте лайк, если статья вам понравилась, и поделитесь с друзьями. Подпишитесь на канал, чтобы не пропускать новые публикации.

Источник