День добрый Хабр. На данную тему меня натолкнули многочисленные публикации сливов конфиденциальной информации из внутренних баз данных ФНС, ПФР, МВД, которые публикуются пробивщиками по всему рунету.

Вероятно, защита конфиденциальной информации у российских чиновников предполагает использование DLP-систем, выявляющих факт утечки такой информации по техническим каналам. Я уверен, что ведется логирование запросов всех сотрудников. Но, как я вижу, проблему это не решает.

Всегда будут сотрудники, стоящие выше системы безопасности, да и снимок с экрана никто не отменял. Поговорим о простых приемах предупреждения и расследования утечек информации. Акцент, как всегда, я сделаю на общедоступном и бесплатном программном обеспечении.

Да кто он такой этот ваш DLP?

DLP (англ. Data Leak Prevention) - система предотвращения утечек информации. Уверен, что крупные и дорогие DLP читатели смогут найти и сами. А что же по опенсорсным и полуфункциональным.

Опенсорсные:

- MyDLP

- OpenDLP

 а также урезанные версии:

- DLP Kickidler

- СпрутМонитор

- StaffCounter Basic

- Stealthbits

Простейшую систему выявления утечек, а также контроля персонала можно соорудить на их основе. Не забудьте только провести внедрение DLP по корпоративным документам. Также рекомендую ввести в компании режим коммерческой тайны (98-ФЗ в помощь). Так у вас появится реальный шанс привлечь инсайдера к ответственности.

 

А как быть если сотрудник сфотографировал экран?

Конечно, это не защитит вас от бича всех DLP-систем - возможности фото данных с экрана на смартфон.

С выявлением и предупреждением таких рисков может помочь программное обеспечение, которое маркирует документ невидимыми метками.

Один из примеров таких сервисов - LeaksID

Он включает в себя модуль интеграции, который маркирует документы уникальными метками, а также модуль проведения расследований, который обнаруживает маркировку и позволяет сказать для какого пользователя она генерировалась.

Важно отметить, что для расследования подойдет не только оригинал документа, а еще и фото распечатанного документа, фото или скриншот экрана, в том числе деформированный образец (мятый, грязный, сфотографированный под углом).

Сделать нечто похожее самостоятельно можно, но это потребует значительных временных затрат.

Тут можно предложить: внедрение специальных водяных знаков в документ, невидимых записей о пользователе, специальных символов в тело документа или дополнительных сведений в метаданные документа. Часть таких приемов будет актуальна в случае расследования утечек в распечатанном виде или в виде скриншотов.

Кстати говоря, подобное ПО есть не только для документов, но и для добавления невидимых маркеров в интерфейс ПО. Например, если сотрудник работает с какими-либо информационными системами (привет сотрудникам мобильного оператора), то по снимку интерфейса ПО с данными клиента можно будет определить в каком конкретно офисе и кто сделал фото.

А как быть с контрагентами?

Утечка электронных документов в форматах Microsoft Office также может быть успешно расследована, если заранее организовать маркировку файлов, содержащих конфиденциальную информацию, средствами логирования. Популярным инструментом для этого является сервис Canary Tokens. Про него я уже писал подробнее в статье: Ловушки, которые используют кибердетективы.

В нем можно создать логируемый документ Excel или Word. Затем вы можете изменить название документа и вставить в него все необходимые сведения (текст, таблицы, графику). Готовый документ может быть скачан или передан третьим лицам. О любом открытии файла вы получите уведомление на электронную почту и в административную панель логера.

Если Вы знаете какие-нибудь еще методы для борьбы с инсайдерами, то не стесняйтесь делиться в комментариях. Надеемся, что наша статья смогла подарить Вам новые знания и инструменты. До новых встреч.

Комментарии (2)


  1. Kotsusamu
    25.08.2022 16:39
    +2

    В большинстве своем сливы данных - это некорректные настройки разных систем (особенно этим "страдают" администраторы эластика). Как тут поможет DLP - науке неизвестно.


  1. MechanicusJr
    25.08.2022 19:35
    +2

    Тут можно предложить: внедрение специальных водяных знаков в документ, невидимых записей о пользователе, специальных символов в тело документа или дополнительных сведений в метаданные документа. Часть таких приемов будет актуальна в случае расследования утечек в распечатанном виде или в виде скриншотов.

    И, поскольку этот метод общеизвестен, то данные в виде скриншотов попадают в сводные таблицы без таких признаков.

    Утечка электронных документов в форматах Microsoft Office также может быть успешно расследована, если заранее организовать маркировку файлов

    Ну то есть про Information Rights Management никто не в курсе.

    Готовый документ может быть скачан или передан третьим лицам. О любом открытии файла вы получите уведомление на электронную почту

    ОБОЖЕМОЙ, неужели программы умеют что-то слать из изолированной среды?? Когда интернетов нет, почты нет и вообще сетевого адаптера или модема нет? Исключительно через ПО??