Защита от утечки информации

---

Своевременно получить информацию о конкуренте – один из самых эффективных способов обойти его на рынке. В силу этого многие руководители совершенно справедливо осторожничают, опасаясь, что кто-то узнает важные сведения об их предприятии. В связи с этим на сегодняшний день стала так важна защита от утечки информации. Данная статья расскажет о том, что это за явление, как оно осуществляется, и какие подводные камни встречаются на этом пути.

---

Для чего нужна защита от утечки информации

Информация, которая нуждается в защите от утечки, всегда различается в зависимости от того, о какой сфере деятельности идет речь. Но обычно на предприятии имеется некий перечень сведений, предназначенных для ограниченного распространения. Его утверждает руководитель. Как раз эти сведения и нуждаются в защите от утечки. Безусловно, сложно выделить какие-то присущие большинству отраслей разновидности такой информации, но все же ее можно сгруппировать в наиболее популярные категории:

• Коммерческая тайна.
• Персональные сведения о сотрудниках, работающих на предприятии (то есть та информация, которую они сообщают о себе при приеме на работу, например, серия и номер паспорта и т.д.).
• Информация о третьих лицах (адреса и другие контакты поставщиков, а также клиентов).
• Прочие сведения, утечка которых может иметь негативные последствия для предприятия, например, плохо отразиться на репутации либо нанести серьезный финансовый ущерб.

Не всякая информация нуждается в защите. Есть категория общих данных, утечка которых ничем не грозит. Среди них:

• информация из отчетов, которые находятся в открытом доступе по воле компании либо в силу требований действующего в стране законодательного предписания;
• сведения, предназначенные для публикации в СМИ, либо специально собранные для помещения в открытый доступ по каким-то соображениям;
• прочие материалы, которые не являются условно защищенными от утечки за счет включения их в перечень сведений ограниченного распространения.

Коммерческая тайна – очень важное условие эффективного ведения бизнеса. Наверное, не стоит лишний раз уделять внимание рассказу о том, как нежелательно, чтобы эти сведения попали к третьим лицам. То же касается и персональных данных сотрудников, а еще более страшная ситуация – это хищение сведений о государственной тайне.

Сегодня злоумышленники проявляют особенную изобретательность, подбирая самые необычные каналы для того, чтобы похитить конфиденциальную информацию организаций. Но и сами сотрудники, к сожалению, хоть и не специально, часто становятся теми, кто разглашает оберегаемые руководством сведения. Это может произойти по разным причинам, например, по неосведомленности либо из-за отсутствия дисциплины. В связи с этим так важно, чтобы с персоналом проводились работы и разговоры на данную тему, способные прояснить степень ответственности и правила защиты от утечки информации. Это важно, ведь даже случайный разговор сотрудников, подслушанный злоумышленником, может нанести вред организации.

А вот умышленно сотрудники занимаются кражей подобной информации намного реже. Ведь, во-первых, это подразумевает наказание, во-вторых, это выполнить сложно, и, в-третьих, не все люди проявляют достаточную изобретательность. Да и личные качества позволяют далеко не всем стать таким нарушителем. И все же такие ситуации происходят. Они несут самые негативные последствия для организации.

Ярким примером того, каким угрозам подвергается информация организации, может служить текстовый редактор «MS Word». Он сам по себе – очень ненадежный программный продукт, записывающий ход правок, производимых в документе. Заинтересованные лица могут без проблем узнать все, что производилось с текстом до возникновения его окончательной версии. Эту информацию можно извлечь и использовать в любых целях.

Статистика, приводимая «VansonBourne», говорит о том, что около 31% документов, созданных Word, содержат информацию, распространение которой нежелательно для его владельца. Как видно, компании даже не догадываются о подобном, а потому часто удивляются тому, как же так получилось, что к злоумышленникам попали тщательно оберегаемые конфиденциальные сведения. А ведь текстовый процессор «MS Word» – лишь частный случай, на практике нюансов намного больше.

Все это разнообразие каналов утечки информации хорошо иллюстрирует то, что невозможно осуществить их защиту какой-то одной решительной мерой. Практически всегда требуется комплексный подход. Нужно выявлять и перекрывать все каналы утечки информации. Только тогда можно рассчитывать на то, что важные сведения находятся под надежной защитой. Важно сделать так, чтобы все эти мероприятия не мешали текущим бизнес-процессам, так что защита от утечки информации – это довольно сложная, многоуровневая – а часто и очень продолжительная – процедура.

Завершенная система защиты от утечки информации обычно состоит из трех элементов:

1. работа с персоналом;
2. политика безопасности;
3. сервисы безопасности.

Защита от утечки информации и работа с персоналом

Наиболее распространенный источник утечки информации – персонал самого предприятия. Участие человека подчас позволяет злоумышленникам обойти даже самые продуманные средства защиты от утечки информации. В связи с этим принципиальное значение имеет взаимодействие с персоналом, профилактика нарушений, введение правил и требований, а также мер по работе с выявленными нарушениями.

Необходимость защиты предприятия от утечки информации при работе с персоналом крайне важна. Наибольшее внимание следует уделить следующим вопросам:

1. На работников должна быть возложена ответственность за нарушение правил защиты от утечки информации. Если какие-то из предписанных требований не выполняются сотрудниками, необходимо оперативно применить по отношению к ним предусмотренные договором меры.
2. На первых этапах приема сотрудников на работу необходимо проводить проверку информации о них. Здесь важно все, начиная от характеристики и заканчивая рекомендацией. Для защиты от утечки не менее важно убедиться в соответствии сведений из резюме реальному положению дел. Не стоит забывать и о кредитной истории.
3. Подписание соглашения, обеспечивающего защиту информации, согласно которому кандидат обязуется не разглашать конфиденциальные сведения.
4. Все требования по защите информации от утечки необходимо включать в договоры, которые подписывают сотрудники. Кроме того, в этой же документации нужно прописывать ответственность за соответствующие нарушения.

Защита от утечки информации будет неполноценной, если руководство предприятия не позаботится о том, чтобы все сотрудники были осведомлены о правилах и требованиях безопасности. Не стоит пренебрегать обучением. Уместно будет в его рамках рассмотреть следующие темы:

• Политика безопасности предприятия.
• Правила назначения, замены и применения паролей.
• Правила получения доступа к ресурсам информационной системы.
• Правила использования конфиденциальной информации.
• Алгоритм оповещения о выявленных неполадках, инцидентах, сбоях, уязвимостях и т.д. в программных средствах.

Для защиты от утечки информации на предприятии необходимо ввести дисциплинарные меры, которые будут проводиться в случае выявления нарушений требований безопасности. В обязательном порядке должно проводиться расследование, а последствия устраняться и т.д.

Кроме того, для защиты от утечки информации необходимо документальное оформление правил безопасности. Это могут быть инструкции и положения о нормах обращения сотрудников с конфиденциальными сведениями. В данной документации должно четко прописываться, какая именно информация подлежит защите от утечки, а какая является общедоступной. Важно привести требования по маркировке документов, в соответствии с уровнем их конфиденциальности. Нужно предусмотреть также правила хранения и обращения с такими сведениями.

На официальном уровне необходимо установить правила, согласно которым, будет предоставляться доступ к информации, защищаемой от утечки. Требуется разработать и внедрить те средства, которые будут препятствовать несанкционированному доступу.

Почему в наше время защита от утечки информации просто необходима

Современные условия диктуют новые тенденции, и уже невозможно представить себе ведение успешного бизнеса без использования какой-нибудь ИТ-системы. Особое внимание уделяется различным базам данных, информационным хранилищам, в которых в обязательном порядке продуманы средства защиты от утечки информации.

Работа с такими базами данных, а также правила защиты от утечки информации, действующие в них, ощутимо усложняют деятельность пользователя. В связи с этим многие предпочитают, чтобы избежать неудобств, скопировать нужный файл из хранилища для обработки отдельно. Разумеется, в таких условиях они не задумываются о таких мерах защиты от утечки информации, как, например, шифрование. Главное в действиях пользователя в этот момент – скорость, мобильность, удобство. В самом деле, намного проще скопировать файл себе на ноутбук, чтобы поработать в непринужденной обстановке дома или в командировке.

Социальные исследования приходят по этому вопросу к следующей статистике:

• Свыше половины (60%) информации, нуждающейся в защите от утечки, обрабатывается и держится на локальных носителях, ноутбукахи в локальных почтовых ящиках сотрудников организации.
• Чуть меньше половины (45%) компьютеров предприятия – это ноутбуки, поскольку мобильность становится не просто средством повышения эффективности, но и необходимостью, практически стандартом в работе с информацией.

Заблуждением является мнение о том, что для защиты информации достаточно мер централизованных систем. Далеко не всегда доступ к ноутбукам и станциям могут получить только люди, входящие в круг доверия. На самом деле все намного сложнее, и не стоит полагаться на одну уверенность.

Почему же в этом случае защита от утечки информации недостаточна? Все просто. Приведем ряд примеров, когда сведения могут быть получены злоумышленником:

• Оборудование с важной информацией утеряно. Никакая защита в виде паролей уже не спасет от утечки.
• Администратор ведет работы, обслуживает или настраивает компьютерное оборудование.
• Информация передается через внешние носители (флешкарты, диски и т.д.). Средства защиты в виде кодирования не применяются. От утечки ничего не спасет.
• В связи с осуществляемым ремонтом компьютерного оборудования требуется вывезти его за пределы территории в мастерскую, где ни о какой защите от утечки информации речь уже не идет.
• Компьютерное оборудование изъято по решению суда, и к нему уже больше нет свободного доступа.
• Технику необходимо транспортировать в новое помещение. Соответственно, утечка может произойти, когда оборудование остается без присмотра и защиты.
• Старую компьютерную технику утилизируют. Выброшенное оборудование может стать источником утечки информации, если вся «защита» свелась к удалению файлов.

К сожалению, если не предприняты элементарные меры по защите от утечки информации, злоумышленникам вовсе не трудно получить доступ к секретным сведениям. Зато намного сложнее впоследствии установить, что такая утечка информации происходила. Допустим, компьютер завис настолько, что его потребовалось доставить в сервисный центр. За время ремонта любой из мастеров либо их знакомых может запросто копировать файлы, хранящиеся на жестком диске, о чем никогда не узнает компания, сдавшая оборудование на ремонт.

Многие люди успокаивают себя тем, что у них на компьютерах имеется информация, являющаяся копией сведений из базы данных. По мнению таких людей, нет ничего страшного в утечке информации, если ее просто восстановить. Это было бы верно, если бы не одно «но». Страшно не просто утратить какие-то данные, куда хуже другое – то, что их получит злоумышленник. Нет ничего хорошего в том, что произойдет утечка:

• информации о текущем финансовом состоянии компании;
• личных сведенийработников;
• деловой переписки, данных систем «ERP» и «CRM»;
• стратегических, аналитических, экономических и прочих сведений организации.

5 признаков того, что вам нужна защита от утечки конфиденциальной информации

Иногда бывает сложно определиться, нужна ли защита от утечки информации. К счастью, есть несколько признаков, наличие которых позволяет с высокой уверенностью заявить о том, что в организации есть потенциальные риски, а значит, необходима защита. Итак, рассмотрим эти показатели.

1. Обиженные сотрудники. Это наиболее популярная причина, по которой происходит утечка информации. Часто руководство не считается с сотрудниками, когда преследует свои интересы. Не редки случаи, когда обиженный подчиненный, имеющий доступ к конфиденциальной информации, передает ее третьим лицам, чтобы отомстить бывшему руководству. Для защиты от такого рода утечки хорошо ввести контроль информации, которая копируется на съемные носители.
2. Потерянные девайсы. Здесь уместно говорить об утечке информации по неосторожности. Кто-то из сотрудников взял работу на дом и потерял флешку где-то по дороге. Защита от последствий довольно проста: если установить обязательное шифрование на ноутбуках и съемных носителях, то никто не сможет получить доступ к найденным сведениям.
3. Обмен информации с филиалами. Эта ситуация очень похожа на предыдущую. Суть та же – информация теряется или же копируется злоумышленником при транспортировке. Защита, соответственно, сводится все к той же элементарной мере – шифрованию данных.
4. Недостатки службы информационной безопасности. Служба информационной безопасности имеет сложную структуру. Не всегда ее удается разработать максимально эффективно. Случается, что доступ различных администраторов значительно выше, чем предполагают их должностные полномочия. Кроме того, случаются и различные технические ошибки либо просто срабатывает невнимательность людей, устанавливающих права доступа. В связи с этим могут возникнуть ситуации, когда какой-либо сотрудник изловчиться скопировать или переслать третьим лицам информацию, которую, согласно изначальным планам организации, он даже не смог бы просмотреть. Довольно сложно бороться с проблемой изнутри, но все же стоит обратить внимание на такую меру, как шифрование, и просто уделить больше внимания организации работы службы информационной безопасности.
5. Утечка через сервисные службы. Это, увы, довольно распространенная ситуация. Отдавая технику на ремонт, организация сильно рискует, что работники сервиса скопируют с жестких дисков какие-то конфиденциальные сведения. Можно снять жесткий диск. Но что если ремонт гарантийный и разбирать устройство запрещено? Чтобы обеспечить своей информации защиту, в таких случаях целесообразно заблаговременно шифровать данные.

Меры защиты от утечки информации

Защита от утечки информации не ограничивается ее шифрованием. Продолжим рассматривать вопрос и перейдем к основным сервисам безопасности, применяющимся для того, чтобы ограничить доступ к информационным потокам и возможностью управлять ими. Данные сервисы защиты информации дают возможность предупредить утечки, вовремя их обнаружить и реагировать на выявленные инциденты.

1. Аутентификация и управление доступом.

В качестве защиты от утечки информации многие ограничиваются традиционными средствами операционных систем. Но пароль на вход для пользователя – это способ, который сегодня сможет обойти даже начинающий любитель компьютерной техники. Данный метод защиты информации от утечек целесообразно использовать в комплексе. Например, уместно установить программное обеспечение, которое будет управлять правами доступа к документам, хранящимся на компьютере. В качестве примера такой программы приведем «Microsoft RMS».

Как же работает такая защита? Допустим, чтобы ограничить доступ, можно установить запрет на открытие, копирование, перемещение и пересылку документа. При этом речь не идет о какой-то настройке системы. Данные свойства установлены в самом документе, что позволяет защитить информацию даже от самых изобретательных злоумышленников. Разумеется, пути обхода возможны и здесь, поэтому далее мы рассмотрим другие способы защиты информации.

2. Фильтрация контента.

RMS – надежное, но не универсальное средство. Если злоумышленник решит переслать информацию по электронной почте, RMS не поможет. Однако и здесь есть методы защиты. Можно ввести в фильтр почты ограничение на отправку писем с определенными ключами либо на адреса, не указанные в списке контактов организации. Безусловно, это далеко не даст 100% уверенности, что злоумышленник не сможет обойти фильтр. Но значительно усложнит ему задачу.

3. Шифрование.

Какие бы методы защиты от утечки информации мы не рассматривали, без шифрования не обойтись. Это надежное средство, способное обеспечить защиту конфиденциальных сведений. Постоянное развитие данной области знаний способствует еще большей надежности этого метода защиты.

В качестве примера средства шифрования можно привести сервис «EncryptedFileSystem», применяемый в NTFS. Также стоит вспомнить, что почтовые клиенты предусматривают возможность шифрования сообщений. Есть ряд других средств, обеспечивающих защиту от утечки информации, путем ее шифрования. Некоторые являются профессиональными, другие ориентированы на пользователя любого уровня. Но самое главное, чтобы лица, передающие и принимающие данные, имели в распоряжении одни и те же программные средства шифрования для работы с информацией.

4. Аудит инфобезопасности.

Дает возможность быстро отслеживать нарушение правил безопасности и вовремя предпринимать меры. Кроме того, позволяет расследовать случаи утечки информации.

Технические средства защиты от утечки информации

Защита каналов утечки информации – это довольно обширная тема.

Для начала перечислим те технические каналы, по которым чаще всего происходит утечка информации и которые в первую очередь нуждаются в защите:

1. визуально-оптические;
2. акустические;
3. электромагнитные;
4. материально-вещественные;
5. радиоэлектронные.

Для каждого канала используются различные методы защиты информации от утечек.

Визуально-оптические каналы. Для того чтобы обеспечить защиту от утечки сведений по таким каналам, чаще всего целесообразно использовать метод удаленного наблюдения.Информация выглядит как свет, исходящий от источника данных.

Другие методы длязащиты визуальных каналов от утечки информации:

• снизить отражательную способность объекта, находящегося под защитой;
• для защиты информации от утечки на объектах информации располагать их таким образом, чтобы они не отражались в сторону злоумышленника;
• снизить уровень света возле объекта, находящегося под защитой;
• использовать различные приемы для маскирования объекта, находящегося под защитой, и всячески вводить в заблуждение злоумышленника;
• устанавливать преграды между злоумышленником и объектом, находящимся под защитой от утечки информации.

Акустические каналы – это тоже технические каналы. По ним может пропускаться звук свыше 20 тысяч Гц. Утечка информации происходит следующим образом: звук равномерно разносится волной во все стороны, пока не достигнет преграды. Затем с нее считывается звук. Сам метод создания и распространения звука может значительно варьироваться.

Для того чтобы произвести защиту акустического канала от утечки информации, в первую очередь следует обратить внимание на организационные меры. Среди них можно выделить архитектурно-планировочные мероприятия – то есть те действия, которые производятся еще до непосредственного возведения зданий, например, внесение корректировок в чертежи. Суть в том, чтобы предусмотреть, разработать и внедрить средства для поглощения звука, достаточные, чтобы обеспечить защиту речевой информации от утечки(либо какие-то иные звуковые формы представления данных). Это могут быть самые различные материалы: ковры, вата, пенобетон и многое другое. Кроме того, для защиты от утечки акустической информации используются средства герметизации – акустические панели. Для расчетов звукопоглощения используют следующую формулу:

A = L × S, где:

А – величина звукопоглощения,

L–коэффициент звукопоглощения;

S–размер поверхности.

Для каждого материала есть свои коэффициенты.

Еще одним важным средством, предназначенным для того, чтобы определить эффективность защиты от утечки информации через акустические каналы, является шумомер. Шумомер– это устройство, способное определять колебания звукового давления. Кроме того, отличное средство защиты помещений от утечки информации–электронный стетоскоп. С помощью таких устройств обычно прослушивают потолки, стены, полы, системы отопления и т.д. Так определяется, насколько хороша защита строения от утечки информации через аудиоканалы. Если здание защищено недостаточно, то целесообразно использовать объекты, генерирующие шум: это помешает утечке информации посредством звуковых волн.

Электромагнитные каналы – это электромагнитные волны, имеющие диапазон от 10 тысяч метров при частоте ниже 30 Герц, до волн длиной 0,1–1 миллиметра при частоте от 300 до 3000 Герц.

Наиболее распространенные электромагнитные каналы, по которым происходит утечка информации:

• высокочастотные и низкочастотные электромагнитные излучения;
• микрофонный эффект элементов электросхем;
• цепи заземления;
• цепи питания электросхем;
• волоконно-оптические системы;
• паразитная генерация усилителей;
• высокочастотное навязывание.

Существует ряд мероприятий конструкторско-технологического характера, которые могут обеспечить в этом случае защиту информации от утечки по электромагнитным каналам:

1. экранирование элементов и узлов оборудования;
2. фильтрация в цепях заземления и питания;
3. ослабление связей между элементами (индуктивной, электромагнитной).

Есть такое понятие как интермодуляционное излучение. Этот процесс заключается в том, что любое электронное оборудование может переизлучать электронный сигнал. Это происходит, если на устройство воздействует электромагнитное поле высокой частоты. Защита от утечки информации в таком случае будет заключаться в следующем: необходимо подключить к микрофону параллельный конденсатор (от 0,01 до 0,05 мкФ). Это предотвратит утечку, так как не позволит току высокой частоты проходить через микрофон.

Для обеспечения защиты телефонов от утечки информации, возможной при микрофонном эффекте, целесообразно применять следующие организационные меры:

• отключение или выключение аппарата;
• замена одного аппарата на другой, имеющий защиту от утечки информации.

Кроме того, возможен ряд технических мер. Обычно защита от утечки информации в таких случаях сводится к тому, что телефоны подключают к специальной линии, где микрофонный эффект локализован. Вариаций реализации данной технической меры защиты от утечки информации множество. Например, распространена телефонная розетка.

Многие устройства обладают микрофонным эффектом. В связи с этим необходимо всегда проверять на наличие подобного свойства свое оборудование. В рамках защиты от утечки информации уже давно сформированы действенные методы для этого.

Материально-вещественные каналы могут быть в самых различных состояниях: жидкости, твердого тела или же газа. Нередко утечка информации происходит через отходы организации.

В данном случае защита информации от утечки по техническим каналам должна производиться в самых различных направлениях. В первую очередь следует уделить внимание всем видам отходов (промышленным, производственным и т.д.).

Радиоэлектронный канал утечки информации – это канал, по которому информация может утекать при помощи электрического тока или электромагнитного поля. Например, это часто происходит по радиоэлектронному каналу.

Утечка информации может происходить по радиоэлектронному каналу из следующих источников:

• устройств, состоящих в каналах связи и предназначенных для передачи информации;
• трансляторов электромагнитных излучений;
• трансляторов электромагнитных наводок;
• объектов, имеющих свойство отражать электромагнитные волны в радиодиапазоне;
• объектов, способных излучать тепловые волны в радиодиапазоне.

Утечка информации в данном случае происходит через безвоздушное пространство, атмосферу, всевозможные электрические провода.

Защита технических каналов утечки информации на предприятии будет сводиться к двум способам перехвата.

Способ 1. Перехват информации через функциональный канал связи. Грубо говоря, для того, чтобы реализовать этот способ, необходимо подключить дополнительный приемник, который сам примет на себя исходящий сигнал. Для этого можно врезаться в проводку. Таким образом, защита от утечки информации будет произведена: сведения не дойдут до злоумышленника.

Способ 2. Здесь уже требуется, определившись со средой, установить передатчик и приемник. Передатчик нужен, чтобы направлять по линии утечки опасные сигналы с малыми амплитудными характеристиками.

В итоге с применением всех средств должна получиться комплексная система защиты от утечек информации.