Спецпроекты

DLP в компании: испугаются ли инсайдеры?

Безопасность Стратегия безопасности
Утечка конфиденциальной информации может произойти в любой компании или организации. Осознавая это, рано или поздно госучреждения и коммерческие предприятия задумываются о том, как защитить данные. ИБ-рынок предлагает всевозможные решения, в первую очередь - системы DLP. Однако так ли они эффективны на самом деле?

На сегодняшний день рынок изобилует различными средствами защиты как от именитых ИБ-представителей сферы ИБ, так и от новых игроков. В основе всех DLP-систем лежат единые методы: анализ формальных признаков – специальных меток, гифов, сравнение хэш-функции. Второй метод – анализ контента исходящего потока данных. Разница между продуктами заключается лишь в способах реализации этих методов и скорости их выполнения. Неизменна также и цель производителей - все они стараются взять под контроль максимально возможное число каналов утечки.

Рост количества утечек с помощью инсайдеров, 2007-2010

KPMG International, 2010

В настоящее время к DLP относят средства по разграничению доступа к портам-ввода вывода, некоторое ПО для шифрования, а также решения, позволяющие контролировать перемещение информации посредством клиентов мгновенных сообщений, электронной почты, и веб-форумов.

Что прячет рынок

Чувствительность к инсайдерским атакам и их число не одинаковы в различных сферах рынка. Это логично, так как в одних сферах информация и деньги неразлучны, а в других - слабо взаимодействуют между собой. Опираясь на статистику The Open Security Foundation, консолидирующих с 2002 года данные по инцидентам утечки конфиденциальной информации, можно построить следующую статистику. Самый большой процент утечки данных (49%) – из коммерческих компаний. На втором месте система образования – 20%. В статистику также попали государственные учреждения и сфера медицинских услуг. Доля утечек в этих секторах составила 17% и 14% соответственно. В статистику вошли как предумышленные, так и случайные инциденты.

Нужно также отметить, что общее число инцидентов за последние 3 года выросло в 4 раза.

За период с 2007 по 2010 год количество утечек увеличилось с 5% до 20% от общего числа всех атак за данный период. Данные приведенной статистики получены с официального сайта Data Loss Barometer, принадлежащего агентству KPMG International.

На сегодняшний день трудно сказать, сколько средств потеряно в следствие инсайдерских атак. Можно лишь отметить, что случаи есть, и таких инцидентов довольно много.

Что есть на самом деле

Разумеется, в виду того, что огласка случаев утечек вредит имиджу компании, все случаи тщательно скрываются. Но некоторые из них все-таки просачиваются в СМИ или разглашаются в официальных отчетах. Многие компаний ведут статистику по инцидентам утечки данных, подобную базу можно найти на сайте The Open Security Foundation. Только за февраль 2011 года The OSF было зафиксировано 9 инцидентов.

Например, в университете Чапмена в Калифорнии была раскрыта персональная информация 13000 студентов. Это были номера социальных страховок, персональные номера студентов и информация по материальной помощи. Пресс-секретарь университета Чапмена Мерри Платт сообщила, что утечку обнаружили сами студенты 15 февраля 2011 года. По ее словам, студент узнал ценную информацию и сразу же сообщил об этом администрации, после чего началось немедленное, тщательное расследование. Было выяснено, что в результате инцидента документы были помещены в незащищенную папку, но ее содержимое было просмотрено лишь раз – студентом, который сообщил о происшествии. Университет в свою очередь предоставил студентам всю необходимую информацию, позволяющую им сохранить свои персональные данные в будущем. По заявлению Мерри Платт, это первое происшествие, в результате которого произошла подобная массовая утечка информации в университете Чапмена или его подразделениях.

Статистику также ведут и российские компании. Так, одна из утечек, зафиксированная Infowatch, произошла в конце 2010 года, жертвой стал автогигант – Ford. Уроженец Китая, Сян Дун Юй, 49 лет, проработавший в Ford 10 лет (с 1997 по 2007), признан виновным в совершении кражи технического задания для новых моделей автомобилей, разработка которого стоит миллионы долларов. Накануне увольнения Юй скопировал около 4000 файлов на внешний жесткий диск, включая секретные разработки компании. Помимо всего прочего, были украдены документы на разработку трансмиссии, электрических систем распределения, электропитания, электрических подсистем и дизайн кузова автомобиля. Мошенник был арестован в 2009 году, в то время он работал в Пекинской компании. В ходе судебной экспертизы было подтверждено наличие на рабочем компьютере Юй 41 документа, принадлежавшего компании Ford.

Другой случай был зарегистрирован аналитическим центром InfoWatch 5 января этого года. В результате инцидента компания Mozilla, известная всему миру по приложениям Firefox и Thunderbird, упустила базу данных, содержащую имена 44 000 пользователей и хэши паролей пользователей сервиса addons.mozilla.org . В целях конфиденциальности все пароли, как активных так и заблокированных аккаунтов были аннулированы. Утечка не нанесла серьезного вреда компании, а новые пароли начали шифроваться по новому алгоритму SHA-512 с добавлением случайных символов (salt) перед хэшированием.

Это только те случаи, которые были опубликованы в отчетах. Не стоит забывать про то, что в реальности их гораздо больше.

Что даст DLP?

Помогут ли избавиться от инсайдеров системы DLP? Эффективность защиты прокомментировал Александр Мормуш, заместитель руководителя отдела защиты от утечек информации, компании LETA: "Мне бы хотелось ответить ёмко и кратко, например, "на 32 процента", но, к сожалению, это невозможно, т.к. подобной статистики нет – впрочем, как не существует и статистики выявления злоумышленников в компаниях, где системы DLP не внедрены. Несмотря на это, надо понимать следующее: большая часть утечки конфиденциальной информации происходит из-за человеческого фактора. По статистике, которую можно собрать на основании публикаций в СМИ или в специализированных базах вроде "datalossdb.org", более 70% известных инцидентов совершаются непредумышленно. Комплексные системы DLP могут блокировать до 100% подобных "случайных" утечек, и некоторый процент пренамеренных. Много это или мало - каждая компания должна решить для себя сама. Человеческий фактор и умышленные инсайдерские активности будут всегда."

Подводя итог, стоит отметить, что утечки конфиденциальной информации с каждым годом происходят все чаще. К сожалению, ввиду отсутствия статистики до внедрения DLP и недостаточности данных - после, насколько эффективны DLP, точно сказать нельзя. Можно лишь судить о том, что система полностью защитит от непредумышленной утечки информации и затруднит ее слив для инсайдеров. К сожалению 100% гарантии не даст ни одно ИБ-решение.


Событие месяца

CNews FORUM 2019 прошел с рекордным успехом

- Более 1,5 тысяч гостей     - 100 экспертных докладов   - 50 инновационных стендов

Точки роста

По определенным ИТ-направлениям Россия является примером для всего мира

Юрий Гаврилов

CDTO Металлоинвеста