DLP-системы – защита от утечек корпоративных данных

Корпоративная информация – это золотой фонд компании: разработки, данные о клиентах, партнерах, продажах, стратегические планы и другие важные сведения. Утечка этих данных в сеть может нанести серьезный удар по репутации компании. В некоторых случаях ответственность может быть даже уголовной. Чтобы избежать убытков, нужно надежно защищать корпоративные данные.

Статистика утечек

Статистика показывает, что 2/3 компаний, столкнувшихся с утечкой информации, закрываются в течение 6–12 месяцев. Утечка данных — это не просто проблема, это реальная угроза существованию бизнеса.

В 2023 году российский бизнес столкнулся с новой волной утечек конфиденциальных данных. Хотя количество зарегистрированных утечек по сравнению с 2022 годом снизилось, объем опубликованных данных вырос на 33%. По данным «Лаборатории Касперского», было украдено более 310 млн пользовательских данных, из которых более половины содержали пароли. Каждая третья утечка касалась крупных баз данных (от 100 000 записей).

Среди пострадавших компаний оказались известные бренды одежды, крупные ритейлеры и страховые компании: Gloria Jeans, «Аскона», «Читай-город», «Эксмо», «АСТ», «Яндекс.Еда», Delivery Club, и другие. Самые крупные инциденты произошли с «Спортмастером» (украли около 45 млн телефонных номеров и 13 млн адресов электронной почты) и с сервисом «СберСпасибо», (в сеть попали почти 48 млн телефонных номеров и более 3 млн адресов электронной почты).

В 72,1% случаев виноваты были рядовые сотрудники компаний, а в 4,6% – топ-менеджмент. Утечки не всегда происходили умышленно, но всегда имели серьезные последствия для бизнеса, включая упущенную выгоду и судебные иски от клиентов.

Эти инциденты подчеркивают важность внутренней информационной безопасности. Компании должны внедрять строгие процедуры аутентификации и политики безопасности, а также повышать осведомленность и ответственность как среди сотрудников, так и среди пользователей.

Последствия нарушения законодательства в сфере обработки и защиты персональных данных

Очевидно, что в прошлом году в России заметно выросли штрафы за нарушения в обработке и защите персональных данных. Сумма штрафов достигла 3,7 миллиона рублей. Роскомнадзор составил 122 протокола и провел 39 внеплановых проверок, из которых в 37 случаях были подтверждены утечки информации.

С недавними изменениями в законе о персональных данных, обязывающими операторов сообщать об утечках, бизнес начал более ответственно подходить к вопросам информационной безопасности. В ближайшем будущем Госдумой могут быть введены новые штрафы до 500 млн рублей и уголовная ответственность до 10 лет за правонарушения в сфере защиты персональных данных.

Еще одной угрозой для компаний могут стать судебные иски от клиентов из-за раскрытия их персональных данных. Данные в компаниях бывают разных типов.

Реальный кейс: в марте 2022 года киберпреступники разместили данные пользователей сервиса «Яндекс.Еда» на интерактивной карте, где были указаны ФИО, телефоны, электронная почта, адреса и суммарные траты за полгода. Роспотребнадзор закрыл сайт, но уже в мае 2022 появилась обновленная версия карты с данными из ГИБДД, Wildberries, Avito, СДЭК и других источников. Представители Wildberries, Avito и МВД опровергли утечки, но доверие пользователей было подорвано, а против «Яндекс.Еда» был подан коллективный иск в суд.

Классификация важной корпоративной информации

Данные в компаниях бывают разных типов.

• Информация о клиентах: истории покупок, контакты и метрики для анализа их активности.
• Личная информация: персональные данные, а также средства идентификации и аутентификации.
• Финансовые данные: все, что связано с денежными потоками, включая размеры зарплат.
• Конфиденциальная информация определяется договором между сторонами или внутренними документами компании.
• Интеллектуальная собственность: исходные коды ПО, аудио, видео, изображения, исследования и другие данные, защищенные законодательством об интеллектуальной собственности и авторском праве.
• Данные с ограничениями, защищенные государственными и федеральными законами. Их компрометация может привести к штрафам и уголовным обвинениям.

Решение проблемы

DLP (Data Loss Prevention) – это программное обеспечение, созданное для предотвращения утечек конфиденциальных данных в корпоративной сети. Эти системы защищают данные от несанкционированного доступа.

DLP-система контролирует каналы передачи данных, выявляет и предотвращает утечки важной информации. Она позволяет гибко классифицировать данные внутри компании и следить за их перемещением. DLP также может искать данные в файловых хранилищах, на рабочих компьютерах сотрудников, в базах данных и других местах. Сегодня такие системы входят в состав программного обеспечения всех современных решений NGFW (Next-Generation Firewall).

Без автоматизации и современных технологий защитить информацию становится почти невозможно. Если не решать эти задачи, конфиденциальные данные быстро покинут пределы компании, что приведет к остановке систем, убыткам и судебным разбирательствам.

DLP-системы решают следующие ключевые проблемы:

• Анализ и маркировка данных. DLP-система определяет и маркирует данные, которые считаются конфиденциальными.
• Мониторинг потоков данных. Сканируются все каналы передачи информации (корпоративные сети, мессенджеры, почта, звонки и пр.), чтобы выявить и защитить конфиденциальные данные.
• Защита данных. Информация, которая уходит из рабочей сети к третьим лицам или в открытую сеть, искажается или удаляется, чтобы предотвратить несанкционированный доступ.

Как выбрать DLP-систему

Нет идеальной DLP, так же как и «лучшего» антивируса. Каждая компания разрабатывает свой продукт, основываясь на своем видении безопасности, анализируя ошибки и добавляя востребованные функции. DLP-системы можно разделить на два типа: с активным и пассивным контролем действий пользователя.

Активные DLP-системы – это своего рода цифровые охранники. Они проверяют весь трафик и предотвращают утечку данных в 99% случаев. Эти системы требуют много ресурсов и могут приостановить работу бизнеса до выяснения обстоятельств инцидента. Это профессиональный инструмент, который требует навыков для эффективного использования, и обычно с ним работает целый отдел информационной безопасности.

Пассивные DLP-системы – это механические фильтры, которые работают с классическими угрозами и постоянно анализируют критические каналы передачи информации. Им нужна лишь начальная настройка, после чего они функционируют самостоятельно. Эти системы предотвращают утечки по неосторожности или грубым попыткам несанкционированного доступа. Пассивные DLP работают в фоновом режиме и не требуют дополнительного штата сотрудников информационной безопасности. Однако при целенаправленной атаке специалистов они могут оказаться недостаточно эффективными.

Есть также гибридные DLP-системы, сочетающие активные и пассивные компоненты. Они подходят для бизнеса, который находится на стадии роста. Пассивные элементы будут анализировать трафик, а зарождающийся отдел информационной безопасности научится работать с активными функциями и отражать новые угрозы.

Чтобы выбрать подходящую DLP-систему, нужно оценить вероятность различных угроз. Для интернет-магазина, где хранятся персональные данные клиентов, подойдет простая система для защиты от случайных утечек или недовольных сотрудников.

Если же ваш бизнес – это крупный банк или маркетплейс, вам понадобится мощная DLP-система и компетентный отдел безопасности, чтобы защититься от постоянных попыток взлома.

Как DLP обеспечивает безопасность

В крупных компаниях безопасность часто обеспечивается с помощью корпоративной электроники. Новый сотрудник получает ноутбук, телефон, планшет, со встроенной DLP. Так что функциональность и возможности обмена информацией жестко ограничены. Однако это дорогостоящее решение доступно только настоящим финансовым гигантам. А что делать предпринимателям средней руки?

У них тоже есть возможность создать безопасную информационную среду без покупки корпоративной техники. Достаточно разрешить сотрудникам использовать свои собственные компьютеры и смартфоны, но с установленным корпоративным средством DLP, утечки информации в таком случае также минимизируются.

Кстати, даже крупные компании переходят на этот второй вариант. Исследования показывают, что это способ обеспечения безопасности более выгоден и проще в реализации.

Функции и возможности DLP

• Обнаружение файлов с конфиденциальной информацией. Каждый сотрудник имеет свой уровень доступа к конфиденциальной информации. Если система находит на компьютере файл, которого там быть не должно. Это сигнал: нужно проверить сотрудника и доработать протоколы безопасности.
• Предотвращение выхода файлов в сеть. Если информация попала в сеть, она скомпрометирована. Поэтому DLP прилагает максимальные усилия, чтобы данные не покинули корпоративную сеть. Это одна из самых приоритетных функций.
• Блокировка копирования информации. Система блокирует копирование данных на физические носители: оптические диски, USB-накопители и внешние жесткие диски.
• Ограничение и фильтрация веб-серфинга. Эта функция предотвращает утечку данных, контролирует деятельность сотрудников и блокирует доступ к небезопасным ресурсам.
• Контроль доступа к приложениям. DLP ограничивает использование приложений на телефоне, планшете или ноутбуке во время работы с конфиденциальными данными: можно использовать лишь безопасные программы.
• Полный мониторинг цифровой активности. Система отслеживает электронную почту, мессенджеры, чаты, нажатия клавиш, используемые документы и приложения. Эти данные важны для анализа трафика, принятия решений в реальном времени и расследования инцидентов.
• Удаление или изменение важных данных. Перед выходом данных с серверов компании DLP может удалить или изменить конфиденциальную информацию, чтобы защитить ее от разглашения. Это обязательная функция для обеспечения безопасности.

DLP-системы обеспечивают:

• Интерактивное взаимодействие с пользователем при использовании разрешенных каналов.
• Контроль каналов передачи данных и выявление утечек конфиденциальной информации.
• Поиск мест хранения конфиденциальных сведений в файловых хранилищах, базах данных и т.д.
• Выявление причин утечек и блокирование повторных утечек данных.
• Мониторинг общения и поведения сотрудников для предотвращения потенциальных угроз.
• Классификация данных внутри компании для более эффективного управления информацией.

Контекстный и контентный анализ в DLP-системах

Контекстный анализ – это один из ключевых методов в DLP-системах, который помогает понять, как используется конфиденциальная информация. Он оценивает контекст использования данных, исходя из их чувствительности и ценности для компании. Благодаря контекстному анализу, DLP-системы могут определить средство отправки информации и установить связь с конкретным отправителем.

Контекстный анализ проводится через изучение следующих метаданных:

• формат объекта;
• размер перехваченного объекта;
• дата и время перехвата объекта;
• источник информации;
• адреса отправителей и получателей;
• другая информация об отправителях и получателях.

Контентный анализ – это процесс изучения содержания данных для выявления конфиденциальной информации. Основная задача контентного анализа в DLP-системе – сканирование данных для поиска ключевых слов и фраз, а также анализа текста и его семантики.

Контентный анализ осуществляется с помощью:

• лингвистического анализа;
• выявления регулярных выражений;
• создания цифровых отпечатков;
• распознавания графических шаблонов.

1. Лингвистический анализ – важный инструмент DLP-систем, который распознает и классифицирует слова, фразы и предложения, чтобы понять смысл текста. Это помогает выявлять конфиденциальную информацию, например, слова «секретно» или «коммерческая тайна».

Например, если пользователь отправляет сообщение с фразами «наша новая разработка» или «наш новый проект», система может распознать это как утечку данных.

2. Регулярные выражения (Regular Expressions) – ключевая технология в DLP-системах. Специальные алгоритмы сканируют большие объемы данных, находя совпадения с заданными шаблонами. Это помогает обнаруживать номера кредитных карт, счетов, паспортов и другие конфиденциальные данные.

DLP-системы создают шаблоны регулярных выражений для поиска определенных данных в текстах, таких как письма, документы и сообщения. При обнаружении совпадений система может заблокировать отправку сообщения или предупредить сотрудника информационной безопасности, чтобы предотвратить утечку данных.

3. Цифровые отпечатки – это технология в DLP-системах для обнаружения конфиденциальной информации по ее уникальным характеристикам. Система использует хеширование для преобразования данных в уникальные наборы символов и ищет совпадения при сканировании текстов.

Технология подходит для:

• контроля передачи конкретных документов;
• отслеживания изменений в документах;
• управления однотипными документами;
• мониторинга малых частей данных.

Цифровые отпечатки помогают защитить информацию, даже если она была изменена или отредактирована. Эта технология обнаруживает утечки, которые могут быть пропущены регулярными выражениями и лингвистическим анализом, уменьшая количество ложных срабатываний и обеспечивая более точный контроль.

4. Технология графических шаблонов позволяет DLP-системам контролировать передачу значимых данных в графическом формате. Система точно распознает в изображениях:
• паспорт РФ (разворот с персональными данными);
• печати организаций (круглые и треугольные);
• лицевую и оборотную стороны платежных карт.

Контекстный и контентный анализ помогают DLP-системам определять конфиденциальную информацию в передаваемых данных и принимать меры для их защиты. Для максимальной эффективности DLP-системы должны использовать несколько методов анализа данных и постоянно совершенствоваться.

Staffcop: решение для предотвращения утечек информации

Staffcop Enterprise – это эффективный инструмент для отслеживания действий сотрудников, мониторинга информационных потоков и расследования инцидентов внутренней безопасности.

Функции Staffcop Enterprise:

• Мониторинг сетевого трафика – отслеживание входящего и исходящего трафика, запуск программ, посещение сайтов и действия с файлами.
• Контроль USB-портов – проверка копируемой информации и блокировка устройств.
• Обнаружение угроз – предупреждение специалистов о подозрительных действиях.
• Расследование утечек – сбор данных для передачи в Роскомнадзор (согласно 152-ФЗ).
• Анализ поведения сотрудников – определение опозданий, переработок и оценка угроз информационной безопасности.
• Обнаружение фишинга и вредоносного ПО – мониторинг сетевого трафика для выявления угроз.

Эти функции помогают предотвратить утечки конфиденциальной информации, оценивать производительность сотрудников и повышать уровень информационной безопасности.

Staffcop Enterprise – полностью российское ПО, работающее на независимом стеке технологий. Оно включено в реестр российских программ и имеет сертификат ФСТЭК. Продукт подходит для государственных организаций, компаний любого размера и работает как в локальном периметре, так и на удаленных ПК сотрудников, не мешая работе антивирусов и других программ.

«СерчИнформ»: решение для предотвращения утечек информации

«СерчИнформ» специализируется на разработке решений для защиты информации. Основанная в 1995 году, компания сначала занималась хранением, поиском и обработкой данных. С 2004 года она выпускает решения для защиты данных. Продукты компании универсальны и подходят для организаций разного уровня, включая нефтегазовую отрасль, банки и государственные структуры.

Программное обеспечение от «СерчИнформ» имеет сертификаты ФСТЭК и лицензии ФСБ. Компания также проводит обучение сотрудников по информационной безопасности, сотрудничает с российскими вузами и помогает готовить молодых специалистов по кибербезопасности.

Продукт компании для защиты от утечек информации «КИБ СерчИнформ: Защита от утечек информации».

Заключение

Технологии DLP-систем постоянно развиваются. Сейчас на рынке есть DLP-системы, которые не только мониторят каналы передачи данных, но и предлагают инструменты профилактики: анализ поведения пользователей, выявление аномалий и скрытых связей сотрудников. Эти системы расширяют аналитические возможности, позволяя всесторонне анализировать события и расследовать инциденты. Таким образом, DLP-системы превращаются в многофункциональные инструменты для обеспечения информационной, экономической и кадровой безопасности.