Способ передачи конфиденциальной информации

Конфиденциальная информация: как защитить корпоративные данные

С какими угрозами сталкивается бизнес в информационной сфере, по каким каналам чаще всего происходят утечки и есть ли эффективные способы защиты конфиденциальной информации?

Информация стала одним из важнейших активов бизнеса. Об этом свидетельствуют данные по тратам компаний на ее защиту: согласно прогнозам Gartner, в 2019 году на информационную безопасность в мире будет потрачено свыше $124 млрд. Большие бюджеты на безопасность оправданы, достаточно вспомнить, к каким последствиям привело недавнее заражение вирусами-шифровальщиками Petya и Misha корпоративных бизнес-сетей. Тогда была нарушена работа сотен компаний из разных отраслей по всему миру. Вирусы распространялись через фишинговые письма, которые получали сотрудники организаций.

Рассмотрим основные источники утечек и меры по предотвращению потерь конфиденциальных данных.

Источники конфиденциальной информации

• Люди (сотрудники, клиенты, посетители, обслуживающий персонал).

Документы материальные и представленные в электронном виде.

Технические средства носителей информации и их обработки.

Производственные и промышленные отходы и т.д.

Угрозы конфиденциальной информации

Отсутствие доступа к информации.

Каналы утечки конфиденциальной информации (через организацию деятельности)

• Деятельность с контрагентами на основе гражданско-правовых договоров.

Запросы из государственных органов.

Проведение переговоров с потенциальными контрагентами.

Посещения территории предприятия.

Реклама, выставки, публикации в печати, интервью для прессы.

Каналы утечки конфиденциальной информации (через технические средства)

По данным исследования Infowatch, порядка 70% утечек данных происходит через сеть.

Акустический канал утечки информации.

Доступ к компьютерной сети.

Побочные электромагнитные излучения и наводки.

Каналы утечки конфиденциальной информации (через человеческий фактор)

• Через сотрудников компании (умысел, неосторожность, методы социальной инженерии и т.д.).

Через уволившихся сотрудников.

7 важных мер по защите информации

Есть семь основных направлений работы по защите корпоративных данных от утечек:

1. Правовые меры (создание режимов, например коммерческой тайны, патентов, авторских прав и т.д.).
2. Меры, связанные с кадровой работой (подбор, обучение, увольнение, контроль, действие в нештатных ситуациях, подбор ИТ специалиста и т.д.).
3. Создание конфиденциального делопроизводства (создание, хранение, уничтожение, передача документов и т.д.).
4. Режимные мероприятия (пропускной режим, внос-вынос документов, использование гаджетов на территории, удаленный доступ, охрана, доступ к информации и т.д.).
5. Организационные мероприятия (деление информации на части, дублирование на ключевых точках, использование облачных систем хранения, банковских ячеек, резервное копирование, аудит и т.д.).
6. Мероприятия по инженерно-технической защите (защита помещений, мест хранения информации, сигнализации, видеонаблюдение и т.д.).
7. Мероприятия по применению технических средств защиты информации (DLP – системы, шифрование, правильная настройка оборудования, защищенное программное обеспечение и т.д.).

Подготовительные мероприятия: что нужно сделать для настройки системы защиты

• Определить, какая информация подлежит или нуждается в защите.

Оптимизировать защищаемые информационные потоки.

Определить формы представляемой информации.

Установить виды угроз защищаемой информации и варианты их реализации.

Установить, кому может быть интересна защищаемая информация.

Ответить на вопрос: чего вы хотите добиться — реально защитить информацию или формально выполнить требования законодательства по ее защите?

Определить, будете ли вы защищать информацию и информационные системы или только информационные системы.

Определить сроки актуальности защищаемой информации.

На что обратить внимание

• Использование гаджетов на территории предприятия.

Удаленный доступ к информации.

Сочетание трудовых отношений с ИТ-специалистом и гражданского договора с внешней организацией; работа с Wi-Fi.

Настройка программного оборудования (особенно после обновления).

Надежность и порядочность ИТ-специалиста, бухгалтера, секретаря и иных лиц.

Разграничение доступа к информации.

Дробление информации на части.

5 принципов информационной безопасности

«Принцип системности». К безопасности нужно подходить системно: с отбора и обучения персонала до создания регламентов работы офиса (речь идет не о технических регламентах, а о бытовых, например, о таком правиле как «Важные документы не должны лежать на рабочих столах “лицом” вверх)». В компании нужны регламенты работы со звонками, идентификации личности посетителей и звонящих. И только потом информационная безопасность — это компьютеры, сеть и технологии.

«Принцип информационного шума». Никогда не чувствуйте себя защищенным. Не доверяйте информацию чему-либо — носителям, шифрам, хранилищам. Всегда помните, что ваша информация может быть получена третьими лицами, и старайтесь представить её в таком виде, чтобы непосвященному человеку было труднее разобраться в данных.

«Принцип разделяй и властвуй». Кроме руководителя в компании не должно быть человека, владеющего всей полнотой информации. Поэтому похитителю придется собирать ее из разных источников.

«Принцип разных корзин». Храните информацию и пересылайте её по разным каналам. Например, никогда не посылайте вместе логин и пароль. Если вы отправляете пароль по защищенной корпоративной почте, отправьте логин по смс, или назовите его в телефонном разговоре.

«Принцип паранойи». Здоровая паранойя поможет минимизировать утечки. Подозревайте всех, не верьте в абсолютные возможности новых технологий, всегда помните, что данные могут украсть. Можно даже спровоцировать кражу, проследить за процессом и выявить виновника.

Запомнить

• Информация — бизнес-актив, на ее защиту компании тратят миллиарды долларов.
• Источниками конфиденциальной информации в компании являются сотрудники, документация, технические носители, продукция и даже отходы.
• Каналами утечки могут стать технические средства, человеческий фактор и организационные аспекты деятельности компании.
• Существует как минимум 7 важных мер и 5 принципов, а также подготовительные мероприятия, о которых важно помнить при создании системы защиты конфиденциальной информации.

Появились вопросы? Задавайте их нам в комментариях к статье. И приходите учиться на курс «Специалист по информационной безопасности» в Русскую школу управления. Он будет полезен:

• Руководителям и ведущим специалистам служб безопасности и информационной безопасности;
• Владельцам бизнеса;
• Начальникам структурных подразделений.

Узнать подробности, получить бесплатную консультацию и записаться на курс можно здесьАвтор: Степан Добродумов

Источник

Защита информации при передаче данных

ИБ-аутсорсинг
на базе DLP-системы

Контроль исполнения документов

Мониторинг ИТ инфраструктуры

Защита бизнеса от мошенничества

Разработка требований к защите информации

Управление системами фильтрации электронной почты и веб-трафика

АУТСОРСИНГ DLP ДЛЯ ЗАЩИТЫ БИЗНЕСА

З ащита информации при передаче данных становится важной задачей в современном мире. Рабочие станции конкретной организации могут быть надежно защищены, но при передаче сведений за пределы закрытого от проникновения периметра вероятность утечек повышается. Очень часто использование недостаточно эффективных средств защиты становится причиной утраты персональных данных граждан, номеров их банковских карт, сведений, имеющих характер коммерческой тайны. Использование современных методов защиты информации должно стать основной целью службы безопасности организации.

Ценность информации в современном мире

Информация – ценный актив, обладание которым повышает конкурентоспособность компаний. Она же становится средством управления: попадая в руки злоумышленников, позволяет манипулировать поведением людей, организаций и даже правительств. Ее защита становится целью не только субъектов рынка и граждан, но и государств, правоохранительных органов. На уровне международного права принимаются основополагающие документы о защите информации, в уголовные кодексы большинства стран уже внесены статьи, связанные с преступлениями в сфере информационной безопасности.

Информационные объекты передаются от человека к человеку, между организациями и их филиалами, через границы по общим телекоммуникационным каналам, защита которых часто не зависит от конкретного обладателя данных. К этим каналам могут подключиться многие и перехватить незащищенный трафик. Со стороны государств мерой защиты ресурсов становится концепция внедрения суверенного Интернета, со стороны организаций – использование защищенных протоколов передачи информации и современных криптографических средств защиты.

Интересно, что тотальное шифрование трафика при помощи криптографических средств, как установленных на устройствах, так и предлагаемых различными VPN-сервисами, не всегда становится гарантией безопасности. Правительство РФ в рамках реализации законов пакета Яровой намеревалось принять меры, предоставляющие определенным госструктурам возможность беспрепятственно расшифровывать данные. ФСБ настаивало на возможности в режиме реального времени расшифровывать интересующий ее трафик, например, если в потоке встретится слово «бомба». Интересно, что предложенным правоохранителями способом анализа данных были классические DLP-системы. Они помогают производить URL-фильтрацию по спискам запрещенных сайтов.

Но для дешифровки трафика, безопасность которого обеспечивается криптографическими средствами, или при передаче данных по защищенным https-соединениям возможностей DLP-систем недостаточно. Задачу должна была решить установка в сетях операторов оборудования, выполняющего действия, которые можно классифицировать как MITM-атаки. Оборудование представится пользователю запрашиваемым им сайтом. Для ресурса, в свою очередь, оно выступит под видом пользователя. Перехваченный трафик будет расшифрован, а затем вновь зашифрован перед доставкой его на сайт. Недостаток этой технологии в том, что ее невозможно применить для расшифровки end-to-end-трафика, который используют основные мессенджеры.

Пока эти планы официально не реализованы, но усиление регулирования Интернета не исключает, что в ближайшем будущем шифрование трафика каким-либо путем, кроме официально разрешенных средств криптографической защиты, станет невозможным.

Практика утечек

То, что незащищенный трафик может быть перехвачен, давно не новость. В обычной ситуации сведения генерируются или хранятся на конечном узле – определенной рабочей станции, сервере, в облачной среде или на мобильном устройстве. Оттуда они передаются на следующий конечный узел. На всех этапах движения данные могут стать объектом атак со стороны злоумышленников, если отправитель и получатель не используют криптографические средства защиты информации, защищенные протоколы обмена информацией либо VPN-системы.

Потеря сведений грозит ущербом:

• финансовым, иногда составляющим миллионы долларов;
• репутационным, в особенности для банков, интернет-магазинов и телеком-компаний;
• социальным. Например, утечка сведений, из Пенсионного фонда РФ, произошедшая в 2016 году из-за ошибки при передаче информации, подорвала доверие к государственной организации.

В США и некоторых странах Евросоюза дополнительным риском становятся крупные штрафы со стороны регуляторов, наложенные на компанию, допустившую утечку. Но контроль за утечкой данных из сетей – не единственное необходимое решение. Потеря сведений может произойти, если не организована информационная безопасность сервера или рабочей станции.

Система защиты конечных узлов предполагает реализацию следующих мер:

• уменьшение целевой нагрузки на систему. Это снижает опасность того, что ресурсы серверов, машинного и человеческого потенциала будут отвлечены от диагностики рисков и защиты от них;
• повышение скорости выявления аномальных событий или описанных в политиках инцидентов информационной безопасности. Для этого могут использоваться специализированные программные средства;
• наличие механизма расследования инцидентов при помощи специального ПО;
• наличие механизма, обеспечивающего отмену операций, несущих вред системе.

Перечисленные меры могут быть реализованы только в рамках конечного узла, для канала связи они не подходят. В большинстве ситуаций инфраструктура (серверы, каналы физической передачи информации) находится не в собственности или аренде у лица, передающего файлы, поэтому он лишен возможности контролировать безопасность процесса. Необходимо применение различных мер шифрования данных. Шифрование военного уровня или шифрование с длиной ключа в 256 бит делает расшифровку практически невозможной, в то время как защищенные протоколы связи или VPN оставляют пути для перехвата.

И все же исследования российских производителей ИБ-решений говорят о том, что в 2019 году основной проблемой для владельцев данных и служб безопасности стали не утечки информации по каналам связи. Более 80 % утечек происходят именно на конечных узлах.

Статистика по российскому рынку выглядит так:

• в 80 % случаев причиной утраты сведений стала выгрузка файлов на внешние накопители;
• в 10 % инцидентов данные утекли в результате фотографирования экрана мобильным телефоном (этот метод часто используется для сбора сведений о конкретных людях);
• еще в 10 % утечка произошла по иным каналам.

Но невысокая степень риска не исключает необходимость защиты от него. Незащищенный трафик может перехватить и расшифровать даже обычный пользователь. Слово «сниффер» уже вошло в общеупотребительный лексикон. Под этим термином понимается простой анализатор трафика, который способен перехватывать сведения, направляемые на другие узлы, и проводить поиск по заданным параметрам, например, находить в потоке трафика номера кредитных карт.

Проблема идентификации информации

Передача данных несет за собой и еще одну важнейшую проблему – необходимость идентификации получаемых сведений. Эта проблема может стать критической, например, при отправке технических сведений о безопасности технологических объектов. Перехват и изменение этих данных может стать причиной техногенных аварий. Для защиты от этих рисков допустима избыточность: текст длинного информационного сообщения проще проверить на подлинность и защитить ключом, чем короткий ряд цифр, воспринимаемых не потребителем, конкретным человеком, а автоматизированной системой управления.

С документами задача проверки подлинности решается проще. Использование электронной цифровой подписи (ЭЦП) снижает риски неверной идентификации автора документа. Она применяется для подтверждения подлинности данных, передаваемых, например, в виде отчетности в ФНС или на тендеры по закупкам товаров и услуг для государственных нужд. Цифровая подпись позволяет идентифицировать лицо, подписавшее документ от своего имени или от имени компании.

Кроме того, ЭЦП решает дополнительные задачи:

• гарантирует неизменность исходного текста документа. Подпись связана только с первоначальным текстом и при его малейшем изменении при расшифровке проявляется как недействительная;
• исключает любую вероятность подделки документа, его достоверность будет признаваться априори;
• привязывает документ к конкретному автору. Подпись нельзя подделать, и она всегда подтвердит, что текст принадлежит отправителю.

Основные каналы утечки

При пересылке данных существует три способа их направления, отличающихся различным уровнем конфиденциальности. Самым защищенным является создание собственных физических каналов, но из-за дороговизны это доступно только для государственных или военных организаций.

Возможна и аренда существующих каналов, как проводных, так и спутниковых. Это решение также будет недешевым, дополнительно оно потребует установки собственных аппаратных средств защиты.

В большинстве случаев граждане и компании передают информационные пакеты по Интернету. При этом информация при ее направлении в рамках общедоступных каналов подвергается следующим рискам:

Риски могут носить как активный, целенаправленный, так и пассивный, не зависящий от воли третьих лиц, характер. Они связаны с ошибками программирования, конфигурации системы, человеческим фактором, непринятием мер по исключению несанкционированного доступа к информации.

Чаще всего перехватываются сведения, передаваемая в рамках незащищенных Wi-Fi-сетей. Сайты, которые в работе с пользователями получают от них конфиденциальные сведения, пароли, номера кредитных карт, используют сложную систему авторизации и защищенные протоколы передачи данных. Достаточно сложно перехватить сведения, передаваемые через мессенджеры.

Средства защиты информации

В зависимости от цели защиты сведений, ее обладателя и ценности сведений применяются различные защитные меры или их комплексы. В широком смысле их делят на организационные и технические.

Организационные

Организационные средства чаще всего направлены на контроль поведения пользователей, исключая риски отправки служебной или конфиденциальной информации по незащищенным каналам. Иногда это необходимо, так как даже IT-специалисты пользуются частными Wi-Fi-сетями для отправки сообщений, содержащих ценные сведения. Разработка политик безопасности, информирование пользователей об угрозах и уязвимостях должны стать для компании первоочередными организационными мероприятиями, призванными обеспечить безопасность данных.

Разграничение доступа к информации пользователей, несмотря на то, что для него требуются аппаратные средства, также относится к организационным мерам. Так, в некоторых корпорациях для пользователей полностью отсутствует возможность выхода в Интернет с рабочих станций, что устраняет опасность утечки с этих ПК по внешним каналам.

Технические

Применяемые в целях обеспечения безопасности корпоративных файлов технические меры доступны большинству квалифицированных IT-специалистов. Выбор зависит от конкретных целей. Среди таких мер:

• криптографическая защита электронных документов;
• подтверждение авторства документа с помощью усиленной электронной подписи (ст. 5 Закона об ЭП), такой тип подписи применяется для наиболее важных документов, например, для заверения постановлений органов власти;
• контроль за целостностью документов;
• идентификация документов, например, их нумерация;
• защищенная передача данных с использованием идентификаторов PHP. Это дает возможность пользователю не авторизовываться каждый раз, переходя на новую страницу, и обеспечивает безопасность данных;
• установка программных решений, которые перехватывают трафик инсайдеров, передаваемый по конфиденциальным каналам связи, и расшифровывают его путем подмены сертификатов. Такие решения стали обычными в российской корпоративной практике;
• динамическая аутентификация пользователей. Примером этой технологии является SMS-рассылка одноразовых паролей;
• использование постоянно меняющихся ключей для шифрования текстов;
• обеспечение сохранности секретных ключей;
• применение электронного сертификата. Электронный сертификат подтверждает принадлежность ключа владельцу, используется при создании ЭЦП;
• создание защищенного соединения. Например, по такому каналу данные из 1С с рабочей станции пользователя могут попадать в «облако».

Применение большинства средств обеспечивает защищенность информации пользователя при его общении с конкретным сайтом. Для обеспечения целостности и конфиденциальности сведений, передаваемых по Сети, предназначены криптографические средства.

Криптографические средства

Криптографические средства защиты данных отличаются различной степенью сложности, в России их сертификацией занимаются такие ведомства, как ФСБ и ФСТЭК РФ.

Они действуют по одному из двух возможных алгоритмов:

• замена определенных символов или их перемещение (непосредственно шифрование). Объем сведений при использовании таких средств криптографической защиты не меняется;
• сжатие информации, когда определенные блоки сведений заменяются специальными символами, объем сведений при этом уменьшается.

Алгоритмы шифрования должны соответствовать следующим требованиям регуляторов:

• данные должны быть защищены не только от расшифровки, но и от подмены части информации;
• расшифровка должна зависеть только от наличия ключа, знание алгоритма шифрования на ее возможность влиять не должно;
• минимальное изменение как самого текста, так и ключа должно существенно менять зашифрованный текст, производя так называемый эффект «обвала»;
• ключ должен иметь обширную область значений и защиту от взлома методом перебора;
• алгоритм шифрования и дешифрования должен быть максимально быстрым при небольшом объеме затраченных ресурсов;
• стоимость дешифровании при отсутствии ключа должна быть существенно выше стоимости самих данных.

Для шифрования и дешифрования в большинстве систем используются аппаратные и программные средства, устанавливаемые на рабочих станциях входа и выхода информации. Но только работа со всеми возможностями, предоставляемыми современными разработчиками программного обеспечения, позволит гарантировать относительную безопасность трафика.

Защищенные протоколы передачи данных

С конца ХХ века в мире широко используются защищенные протоколы передачи данных. Это не что-то сконструированное специально для безопасной пересылки сообщений, а привычный для большинства пользователей Интернета протокол НТТР, который в целях защиты работает через сертификаты SSL либо же TLS. Его применение не только позволяет с большей степенью безопасности отправлять файлы с собственного ресурса и обеспечивать относительную защиту сведений, передаваемых на этот ресурс, но и снизить риск сетевых атак на него.

Наличие сертификата SSL становится одним из часто используемых технических средств защиты информации, оригинальным типом паспорта сайта, гарантирующим подлинность доменного адреса. Если этот протокол присутствует, то адрес сайта не может быть подменен фишинговым и пароли или номера кредитных карт пользователей не окажутся в руках неизвестных злоумышленников.

Сертификат содержит удостоверенные сведения:

• о наименовании владельца сайта;
• об идентификации региона регистрации владельца – от страны до города;
• о фактическом владельце сервера, домена, на котором размещен сайт.

Сертификат SSL предполагает наличие двух обязательных элементов защиты передаваемых данных:

• аутентификация, осуществляемая посредством специального ресурса;
• шифрование трафика, оно асимметрично и осуществляется при помощи двух ключей. Если трафик передается через промежуточные узлы, сертификаты могут быть расшифрованы.

Существуют и аппаратные средства защиты от перехвата конфиденциальной информации. SSH-туннелинг, осуществляемый через доверенный сервер, обезопасит определенные соединения, например, содержащие финансовую информацию. Ту же задачу выполнит и VPN-соединение. Но следует учитывать, что политика многих стран по обеспечению интернет-безопасности ограничивает возможность использования таких соединений.

Криптопровайдер

В тех случаях, когда политики безопасности данных допускают возможности использования различных программных средств для шифрования, некоторые компании прибегают к услугам криптопровайдеров. Под этим термином понимается независимый модуль, который работает в рамках операционной системы и шифрует трафик при помощи CryptoAPI. Криптопровайдер является посредником между операционной системой и всеми приложениями. В России есть ГОСТы, устанавливающие требования к этому способу защиты информации.

Источник