Журнал "Information Security/ Информационная безопасность" #3, 2023

регистрации, тип платежной системы, название банка и т.п. Использование для защиты данных только DLP-продуктов можно назвать однобоким. Для того чтобы принять полноценное решение о том, дать инфор- мации переместиться за пределы кор- поративной информационной системы или нет, нужно понимать весь бизнес- процесс. Например, DLP-система банка видит письмо, содержащее детализацию опе- раций по счету (банковская тайна). Если это письмо – ответ на запрос клиента, адрес получателя совпадает с адресом, указанным в профиле клиента, а в пись- ме именно его данные – это легитимная операция, но если нет – то нелегитимная. DLP-система не имеет доступа к CRM, АБС, переписке с клиентом и другим системам банка, поэтому точный вердикт она вынести неспособна ввиду неполно- ты данных. Скорее всего, ее решением будет "пропустить письмо и поставить в мониторинге метку о пересылке бан- ковской тайны". То есть корпоративные данные информационную систему все же покинут. Кроме безусловно полезных функций DLP-систем (мониторинг движения дан- ных, анализ действий пользователя) для обеспечения противодействия утечкам требуется много других – от управления доступом до анализа файловых опера- ций. Эти функции обеспечиваются целой экосистемой средств защиты: l IDM – управление доступом к ресурсам компании, в которых содержатся и обра- батываются данные; l PAM – управление доступом к приви- легированным учетным записям; l DBF – контроль запросов к базам данных, операций с данными в СУБД и приложениях; l маскирование – выдача на запросы не полноценных данных, а "испорчен- ных", маскированных по определенным правилам. Такое часто бывает нужно для тестирования приложений на "живых" данных; l DCAP – анализ содержимого файлов, прав доступа к ним и операций с ними; DLP – последняя линия обороны, "вра- тарь", согласно вышеописанной анало- гии. При полноценной работе такой экоси- стемы злоумышленнику, прежде чем удастся вынести данные за пределы информационной системы, необходимо выполнить множество действий. Полу- чить к этим данным доступ через прило- жения или прямой доступ у СУБД, выгру- зить их из этого приложения или СУБД, сохранить в файл, перенести этот файл на компьютер, у которого есть каналы передачи (учетная запись электронной почты с возможностью посылать письма на внешние адреса, доступ в Интернет или внешний порт). На любом из этих этапов атака может быть прервана: не выдан или ограничен доступ, запрещена или ограничена выгрузка, выгружены маскированные данные, запрещено перемещение файла и т. п. Такая эшелонированная защита пер- сональных данных работает практически одинаково вне зависимости от того, дей- ствует внутренний злоумышленник или хакер, вломившийся в сеть. Это важно, поскольку такой подход не требует выстраивания разных эшелонов защиты от внутренних и от внешних угроз. Как следует из статистики 1 , примерно поло- вина утечек происходит по вине внут- ренних нарушителей, намеренных или халатных, а другая половина – по при- чине хакерских атак. Борьба с утечками не только техниче- ская проблема. Компаниям необходимо проанализировать свои бизнес-процес- сы, реализованные в цифре, убедиться в их необходимости и понять, можно ли их заменить на более безопасные. Например, кто-то из сотрудников зака- зывает выгрузку из базы данных для каких-то целей – зачем ему она? Для исследования? Пусть заказывает сразу аналитику, а не сырые данные. Для оценки? Пусть заказывает сразу скоринг и получает ответ да/нет, или 71%. Для поздравления клиентов с праздником? Пусть получит поздравительную форму с автоподстановкой обращений и адре- сов и т.д. Это не только улучшит без- опасность, оставив в прошлом кочующие по сети excel-файлы с выгрузками, но и оптимизирует бизнес-процессы. Нельзя игнорировать и человеческий фактор, ведь многие внутренние инци- денты связаны не со злыми намерения- ми, а с халатным отноше- нием к правилам. Да и в атаках хакеров всегда есть неявный внутренний соучастник: кто-то же не установил обновления, открыл фишинговое письмо, запустил сомнительную программу, прошел по опасной ссылке, выставил неправильные настройки в ИТ-системе, установил нестойкий пароль и т.п. Постоянное обучение сотрудников, построение корпоративной культуры, нацеленной на автоматическое выпол- нение правил, тесты при переквалифи- кации и аттестации, корпоративные уче- ния – неотъемлемая часть борьбы с утеч- ками персональных данных. Средства для борьбы с утечками информации на разных уровнях зрелости компании должны соответствовать теку- щему состоянию цифровизации, суще- ствующей системе сбора, хранения и обработки персональных данных. Пере- ход на новый уровень цифровой зрело- сти будет требовать более сложных и дорогих подходов. В борьбе с массовыми утечками не может быть простых решений по типу "купил и забыл", как бы этого ни хотелось разработчикам таких решений. Цифровизация будет продолжать потреблять данные, их будет собираться все больше, они будут использоваться все шире. Сервисы становятся гибче, а системы – сложнее. Мы платим за удобство цифровых сервисов в том числе и своей приватностью. Дело заказ- чиков и архитекторов цифровых систем – учитывать требования безопасности еще при проектировании цифровых сервисов. Здесь надежда только на совместную работу производителей цифровых систем, отраслевых и государственных регуляторов и производителей средств защиты информации. l • 21 DLP. DCAP, DAG www.itsec.ru Борьба с утечками не только техническая проблема. Компаниям необходимо проанализировать свои бизнес-процессы, реализованные в цифре, убедиться в их необходимости и понять, можно ли их заменить на более безопасные. АДРЕСА И ТЕЛЕФОНЫ Группы компаний “Гарда” см. стр. 68 NM Реклама 1 https://www.infowatch.ru/analytics/analitika/utechki-informat- sii-ogranichennogo-dostupa-v-rossii-za-2022-god