Оглавление
Ложноположительные срабатывания в работе DLP всегда являются серьезной угрозой эффективности. Частично снизить их уровень можно за счет корректной настройки системы, но иногда ложные срабатывания – следствие использования в DLP алгоритмов, не подходящих для решения требуемых бизнес-задач. Такие случаи стали драйвером для внедрения в систему InfoWatch Traffic Monitor принципиально нового подхода к определению утечек.
Автор: Александр Клевцов, руководитель по развитию продукта InfoWatch Traffic Monitor
На BIS Summit 2023 в рамках мероприятия, посвященного вопросам защиты данных от утечек, обсуждался инновационный подход к защите персональных данных. Его идея заключается в проактивном реагировании на угрозы и предотвращении утечек.
Эксперты, включая представителей ФСТЭК России, депутатов Госдумы, сотрудников Роскомнадзора и представителей бизнеса, отметили, что утечка данных по-прежнему представляет серьезную опасность как для отдельного человека, так и для бизнеса, и не согласились с утверждениями об обесценивании утечки.
Даже если взять в пример одну их самых зрелых с точки зрения ИБ-процессов отрасль – финансовую, увидим, что количество утечек за весь 2023 г. возросло на 79,5%, а на территории России – на 12,3%, согласно анализу экспертно-аналитического центра InfoWatch. Общее число утекших записей персональных данных в финансовом секторе оценивается более чем в 4,3 млрд, из которых 170 млн относятся к российским финансовым организациям.
Разберемся, почему сложно защитить персональные данные
Инструментом, традиционно используемым для защиты данных от утечек, являются DLP-решения, однако не все из них эффективны на практике из-за частых ложных срабатываний.
В качестве иллюстрации можно привести два сценария, часто возникающих на практике.
Кейс 1: подписи в письмах
DLP-системы традиционно считаются одними из наиболее эффективных инструментов в предотвращении утечки информации. Однако даже они могут столкнуться с проблемами на практике, например с неспособностью различать письмо с подписью сотрудника и письмо с конфиденциальными данными клиента (рис. 1).
Рис. 1. Случай, когда только по содержанию DLP не может определить факт нарушения
InfoWatch Traffic Monitor, в отличие от традиционных DLP-систем, определяет отправку чувствительной информации за периметр не только по содержанию, но и по контексту их передачи, а также устанавливает правильность передачи данных адресату. Это позволяет идентифицировать конкретные персональные данные конкретного клиента и проверять легитимность их отправки.
Но ведь традиционные DLP должны справляться с такой задачей! Увы. Использование стандартных технологий, таких как настройка политик защиты данных с применением регулярных выражений или специализированных словарей, недостаточно эффективно для решения данной задачи. Перечисленные методы являются чрезмерно трудоемкими в настройке, особенно когда защищаемая клиентская база (база партнеров, закупочные цены), содержит миллионы записей, ведь требуется создать соответствующее количество правил. С увеличением объема клиентской базы или номенклатуры создание, а главное, поддержание в актуальном состоянии такого количества правил для защиты данных становится практически решаемой задачей.
Кейс 2: предложения клиентам
Другой сценарий, в котором традиционные DLP-системы не способны качественно справиться с задачей, – это отправка персонализированных предложений. Например, направляется специальное предложение или выписка по счету VIP-клиенту, коммерческое предложение новому партнеру или договор контрагенту, с которым не заключено соглашение о неразглашении информации (рис. 2). Необходимо определить, было ли письмо отправлено правильному адресату или, может быть, случайно подставился похожий адрес, – традиционные DLP-системы не способны ответить на этот вопрос. Ведь даже если инцидент отразится в событиях DLP-системы, то понять, что отправленные данные принадлежат неправильному получателю, сотрудник безопасности сможет, только если он помнит всю клиентскую базу компании наизусть.
Рис. 2. InfoWatch Traffic Monitor успешно разделяет нарушения и легитимную отправку
Предложенное InfoWatch решение может значительно улучшить обстановку и снизить число подобных инцидентов, а помимо этого решить еще ряд смежных вопросов:
Как избежать массовых ложных срабатываний при отправке зарплатных листов бухгалтерией?
Как исключить ложные срабатывания на подписи к письмам, но при этом не создавать сотни или тысячи правил?
Как убедиться в корректности бизнес-процесса отправки персонализированных данных клиенту или контрагенту и в том, что данные дошли кому надо, а кому не надо – не дошли?
Новая парадигма: защищать данные по контексту, а не только по содержанию
InfoWatch предлагает инновационный подход, основанный на анализе контекста данных, который позволяет точно идентифицировать факт передачи персональных данных за контур компании и проверять принадлежность их законному владельцу. Он позволяет добавлять и использовать в DLP-системе политику с миллионами правил, построенными на основе информации, полученной из сторонней бизнес-системы. Разумеется, при изменении данных в системе-источнике правила автоматически обновляются и в правиле DLP (рис. 3).
Рис. 3. Определение нарушения по контенту и по контексту
При этом синхронизация не требует передачи всего объема данных несколько раз в день. Достаточно передавать только инкрементальные изменения, которые произошли в бизнес-системе с момента последней синхронизации.
После синхронизации, при проверке инцидентов, DLP-система уже не обращается напрямую к исходным данным. Для принятия решения достаточно хешей, которые хранятся в DLP.
Новый подход не только обеспечивает защиту данных, которые сложно описать с помощью формул, но также способствует управлению качеством бизнес-процессов. Например, сведения о сотрудниках из кадровой или бухгалтерской системы автоматически синхронизируются с DLP-системой, позволяя идентифицировать отправку зарплатных ведомостей два раза в месяц как легитимную, даже если адреса сотрудников-получателей находятся на сторонних почтовых сервисах.
Внедрение в банке
Эффективность такого решения подтверждена на практике: проведено внедрение в крупном российском банке, где количество инцидентов сократилось в 3,5 раза, а уровень защищенности вырос на 70%. Traffic Monitor синхронизируется с бизнес-системами банка, что позволяет оперировать только актуальными данными конкретных клиентов и проверять, указан ли в получателях письма их законный владелец.
Всего 0,1 секунды требуется InfoWatch Traffic Monitor, чтобы проверить наличие персональных данных при объеме базы в бизнес-системе в 10 млн клиентов. Такие показатели достигаются благодаря запатентованным алгоритмам индексации и поиска, разработанным компанией InfoWatch.
Защитить данные, и не только персональные
Уникальная технология оказалась эффективной оказалась не только для защиты ПДн, но и показала свою применимость к широкому спектру других задач. Описанный инновационный подход к защите клиентских баз и предотвращению потенциальных утечек применим также к номенклатуре товаров, закупочным ценам, информации о сотрудниках, партнерах и поставщиках. Он обеспечивает защиту любого типа данных, хранящихся в корпоративных базах или информационных системах.
Решение InfoWatch для защиты клиентских баз фундаментально отличается от существующих на рынке DLP-систем и заслуженно отмечено на одном из самых значимых конкурсов в финансовой отрасли: национальная банковская премия в декабре 2023 г. признала компанию InfoWatch победителем в номинации «Лучшая система защиты персональных данных в банковской отрасли» за успешное внедрение решения по защите данных в крупном российском банке.
Полезные ссылки
Отчет экспертно-аналитического центра InfoWatch Утечки информации в финансовом секторе за три года
https://www.infowatch.ru/analytics/analitika/utechki-informatsii-vfinansovom-sektore-za-tri-godamir-rossiya
Подробное описание решения «Лучшая DLP-система для защиты персональных данных в банках»
https://www.infowatch.ru/resursy/blog/korporativniy-blog/luchshaya-dlp-sistema-dlya-zaschity-personalnykh-dannykh-v-bankakh
Вебинар по защите персональных данных https://www.youtube.com/watch?v=Enx23R8SuKc
ITSec_articles