Поделиться
Microsoft Office: ваши данные беззащитны
Документы Microsoft Office содержат метаданные – вспомогательную информацию, сохраняемую вместе с файлом автоматически. Например, Word по умолчанию сохраняет свойства документа, XML-данные пользователя, историю работы с текстом и многое другое. В результате практически каждый офисный файл содержит приватную информацию компании. Казалось бы, с выпуском новой версии Office 2007 разработчики Microsoft должны были решить проблему безопасности, однако эксперты рынка считают, что ситуация стала только хуже. А с выходом Windows Vista опасность утечки секретных данных существенно возрастет.По идее, решение проблемы должно крыться в новой версии Microsoft Office 2007. Бета-версия продукта уже давно выпущена, поэтому ничто не мешает ознакомиться с ней именно в плане работы с метаданными. В самом деле, теперь офисный пакет по умолчанию оснащен утилитой Document Inspector, которая подчищает приватные данные точно так же, как это делало «Средство удаления скрытых данных» в Microsoft Office XP/2003.
Однако тщательный анализ возможностей Document Inspector показывает, что ситуация вовсе не улучшилась. Более того, наличие новой утилиты создает иллюзию безопасности, что вводит пользователей в заблуждение, а возможность поиска по метаданным в Windows Vista обнажает проблему, как никогда ранее. Чтобы убедиться в этом, рассмотрим работу плагина Document Inspector.
Прежде всего, необходимо отметить, что Microsoft вынесла целый ряд функций в отдельное меню Finish. Таким образом, разработчик признал, что перед публикацией документа над ним действительно стоит проделать ряд манипуляций.
Microsoft Word 2007 позволяет завершить (Finish) работу с документом
Утилита Document Inspector: результаты удаления метаданных
Таким образом, новая версия офисного пакета сохранила основные недостатки Office XP/2003. Самое главное – отсутствие автоматизма при удалении приватных сведений. То есть, служащий должен самостоятельно запускать Document Inspector каждый раз, когда планирует отослать документ за пределы корпоративной среды. Несмотря на более привлекательный интерфейс и упростившееся взаимодействие с пользователем, новая утилита все также не решает проблему утечки метаданных в бизнес-среде. Более того, наличие такого плагина в составе Microsoft Office по умолчанию создает ложную иллюзию защищенности. Может показаться, что достаточно всего лишь запустить Document Inspector, как утечка будет предотвращена. Однако это в корне неверный подход. Точно такая же ситуация была на ниве борьбы с вирусами 10-15 лет назад. Пользователи должны были принудительно проверять на вирусы каждый файл на дискете или компакт-диске. Естественно, в некоторых случаях человек просто забывал это сделать или надеялся «на лучшее». В результате даже при наличии антивируса пользователь мог легко стать жертвой вредоносного кода. Конечно, со временем появились антивирусные мониторы, так что современные служащие о защите от вирусов даже и не думают. Так почему же они должны думать о предотвращении утечек?
Есть ли выход?
Решение проблемы метаданных сродни проверке файла на вирус. В обоих случаях задача должна решаться с помощью автоматических и полностью прозрачных методов, которые берут всю работу на себя и не требуют вмешательства пользователя. При этом необходимо учитывать, что утечка конфиденциальной или приватной информации происходит тогда и только тогда, когда эти данные покидают корпоративный периметр. Следовательно, нет никакой опасности в том, что метаданные «кочуют» вместе с документами Microsoft Office от отдела маркетинга в отдел продаж или внутри технического департамента. Однако на выходе из корпоративной сети, например, при отсылке файла по электронной почте, все метаданные должны быть обязательно стерты. Более того, такая выделенная функциональность (удаление вспомогательных приватных сведений на уровне шлюза) является наиболее логичной с точки зрения удобства, производительности и масштабируемости.
Отметим, что аналогичные решения сегодня есть (например, InfoWatch Security Appliance). Они представляют собой программно-аппаратные комплексы, устанавливаемые в качестве relay-сервера на выходе из корпоративной сети и фильтрующие почтовый и веб-трафик. Важно отметить, что конфиденциальная информация или документ Microsoft Office вместе с метаданными могут покинуть корпоративный периметр не только по сетевым каналам, но еще и посредством мобильных накопителей, портативных устройств и т.д. Таким образом, для предотвращения утечки необходимо обеспечить комплексный контроль над всеми коммуникационными каналами, включая уровень рабочих станций. По мнению компании IDC, именно двухуровневый подход является сегодня самым эффективным для блокирования утечек: фильтрация сетевого трафика должна происходить на уровне шлюза (первый уровень), а копирование файлов на флэшки и гаджеты должно контролироваться на каждой рабочей станции (второй уровень). С помощью комплексного решения удастся покрыть все наиболее опасные каналы утечки, как сетевые (электронная почта, веб и т.д.), так и мобильные (USB, COM, LPT, IrDA, Bluetooth, Wi-Fi и др.).
Таким образом, только автоматизированная очистка метаданных в документах Microsoft Office, покидающих корпоративную сеть, может остановить утечку приватных и конфиденциальных данных из компании. Бизнес не может игнорировать эти риски, так как в противном случае фирма рано или поздно очутится в центре скандала из-за появления в печати альтернативных трактовок последних событий или утратит конкурентоспособность вследствие утечки торговых секретов. В любом случае нет никакого смысла пускать на самотек те риски, которыми легко можно управлять.
Короткая ссылка
