Информационная безопасность в отраслях
03.06.2024
Информационная безопасность в отраслях подразумевает защиту конфиденциальных данных, профессиональной и коммерческой тайны, производственного процесса, критически важной инфраструктуры компании в соответствии с требованиями определенной отрасли от намеренных или непреднамеренных действий, ведущих к материальному или репутационному ущербу компании.
Поскольку все отрасли промышленности становятся все более зависимыми от информационных технологий, риски утечки конфиденциальных данных соизмеримо растут: так, по данным Роскомнадзора, в 2023 году было зафиксировано 168 утечек, вследствие которых в открытый доступ попало более 300 млн записей. По сравнению с 2022 годом этот показатель вырос на 20%.
Угрозы для информационной безопасности могут быть как внешними (вредоносные программы, программы-шпионы, вирусы, продолжительные атаки повышенной сложности и проч.), так и внутренними, когда утечка охраняемых данных происходит по вине сотрудников компании.
Человеческий фактор по-прежнему основополагающий в вопросах утечки конфиденциальной информации. В топе причин инцидентов ИБ — нарушение парольной политики, отказ от регулярных обновлений антивирусного и иного ПО на рабочих станциях, невнимательность, переходы по фишинговым ссылкам, подключения к незащищенным беспроводным сетям с рабочих устройств и прочее.
Утверждение верно и для корпоративных сетей компаний, и для промышленных предприятий. Чаще всего киберпреступники заражают рабочие станции и оборудование, используя особенно действенные методы социальной инженерии, например, фишинговые рассылки. Злоумышленники могут применять многоступенчатые атаки и комбинировать методы, например, в письмах для сотрудников организации будут присутствовать и зараженный файл, и ссылка на сайт с формой для ввода логина и пароля.
По статистике, свыше 25% пользователей вне зависимости от их должности откроют вложение письма, перейдут по ссылке или даже вступят в диалог с киберпреступником. И если от скачивания и установки вредоносного ПО еще можно защититься антивирусом, то от намеренной или непреднамеренной передачи конфиденциальных данных злоумышленникам не застрахована ни одна организация, пока трудовые обязанности выполняют живые люди.
Существенно сократить такие риски утечки конфиденциальной информации из внутренней сети компании поможет DLP-система (англ. Data leak prevention).
В этой статье аналитики Falcongaze расскажут о проблемах ИБ, которые решает DLP-система SecureTower, а также разберут особенности ее применения в различных отраслях.
Проблемы, которые решает DLP-система
Предотвращает утечку данных по вине сотрудников
Конфиденциальные данные, представляющие критическую ценность для компании, не должны покидать ее периметр безопасности. Доступ к таким данным следует ограничить.
SecureTower в реальном времени мониторит все рабочие станции, на которых установлен агент (программный модуль для перехвата информации), каналы коммуникации и протоколы передачи данных.
ПО обеспечит контроль всех каналов коммуникации: посещенных сайтов, облачных хранилищ, социальных сетей, сетевых хранилищ, мессенджеров, подключаемых к рабочим станциям USB-устройств, сетевых и локальных принтеров, электронной почты и проч.
Перехваченная информация будет проанализирована по множеству параметров:
- по содержимому: будет проведен анализ текстовых файлов, изображений, отправляемого текста с учетом морфологии и возможных грамматических ошибок, опечаток, сокращений и транслита. Перехваченные звонки и аудиосообщения система переведет в текстовый формат и так же проанализирует;
- по количественному учету выполняемых действий за рабочими станциями и оборудованием компании: такой анализ позволяет выявлять аномалии в процессах или в поведении сотрудников и предпринимать соответствующие меры для обеспечения безопасности данных;
- по путям распространения информации: позволяет анализировать взаимосвязи между инцидентами, сотрудниками и пользователями, не зарегистрированными в системе;
- по цифровым отпечаткам и хэш-суммам: такой анализ позволяет отслеживать использование или изменение и перемещение любого конкретного файла и др.
В случае выявления нарушений правил безопасности SecureTower автоматически уведомит офицера безопасности или иное лицо, ответственное за информационную безопасность в организации. При необходимости передача скомпрометированной информации будет заблокирована системой.
Таким образом, установленная система SecureTower позволяет бороться с инсайдерами и препятствует намеренной или непреднамеренной передаче конфиденциальной информации сотрудниками компании.
Предотвращает изменение или порчу документов и другой информации
Система SecureTower препятствует умышленной или непредумышленной порче или изменению важных документов, размещенных внутри контура безопасности организации. Данный функционал подразумевает индексацию всех рабочих станций и настройку пользовательских правил безопасности «По цифровым отпечаткам» и «Контроль по банкам хэшей». Чтобы правило безопасности сработало, следует загрузить необходимый банк хэшей или базу данных цифровых отпечатков, с которыми система будет сверять данные в ходе поиска и анализа.
В функционале системы предусмотрена возможность поиска среди перехваченных документов, содержащих метки конфиденциальности, и блокировки отправки данных с метками.
Расследует инциденты информационной безопасности
Функционал SecureTower позволяет проводить расследования инцидентов при серьезных или систематических нарушениях правил безопасности. При расследованиях можно заводить дела, в которых будет зафиксирован ход расследования и фигуранты. При необходимости система сформирует отчет для руководителей.
Сформированные отчеты можно использовать в судебных делах в качестве доказательной базы в случаях, когда действия сотрудника повлекли правовую ответственность.
Контролирует лояльность сотрудников компании
SecureTower анализирует поведение исполнителей на рабочих станциях по различным параметрам и фиксирует аномальную активность или нарушение правил безопасности: снижение продуктивности, токсичное или агрессивное общение в мессенджерах, обсуждение компетентности руководства с коллегами и пользователями вне системы и проч.
Система автоматически зафиксирует, среагирует и уведомит офицера безопасности или иное ответственное лицо о таких инцидентах, как коммуникация с конкурентами, поиск новой работы и рассылка резюме, существенное снижение продуктивности и проч. Опираясь на информацию об инциденте, офицер безопасности или руководитель сможет принять необходимые меры: отстранить сотрудника от ключевых процессов или конфиденциальных данных, назначить взыскание или просто обсудить причины утраты лояльности, т. е. получить конструктивную критику.
Контролирует активность сотрудников за рабочими станциями
SecureTower имеет широкий функционал для контроля и анализа активности сотрудников за рабочими станциями. Используя систему, пользователь может отслеживать активность каждого отдельного специалиста:
- начало и конец рабочего дня;
- время активности и рабочей станции;
- используемые приложения, в том числе продуктивные и непродуктивные;
- активность в мессенджерах и социальных сетях;
- посещаемые веб-ресурсы (можно сегрегировать на целевые и нецелевые);
- подключаемые устройства и проч.
Собранная информация предоставляется в интерактивных отчетах: сводных и по каждому пользователю в отдельности. В случае систематичности нарушений правил безопасности, пренебрежения рабочими обязанностями и злоупотребления привилегиями, руководитель может провести взыскание.
Данные об активности пользователей представляют особую ценность для менеджеров внутри компании: они позволяют проводить анализ загруженности персонала, перераспределять нагрузку между специалистами, устанавливать и награждать продуктивных сотрудников.
Анализирует риски
SecureTower в автоматическом режиме анализирует работу сотрудников, формирует модели поведения и присваивает каждому соответствующий уровень риска. Система выявляет нелояльных организации, деструктивно настроенных или опасных исполнителей, позволяет точно оценивать обстановку внутри коллектива, а также выявлять и расследовать прецеденты превышения полномочий, непродуктивности, агрессивного поведения и проч.
Система предоставляет информацию по сотрудникам в виде статистических отчетов. При необходимости можно настроить пользовательские отчеты (в том числе ретроспективный), чтобы выявлять и расследовать конкретные инциденты.
Особенности применения DLP-системы в банковских, страховых и кредитных организациях
В распоряжении банковских, кредитных и страховых организаций находится конфиденциальная информация, доступ к которой ограничен законодательством. Финансовые организации, обрабатывающие персональные данные граждан, обязаны соблюдать меры по их защите.
Примеры конфиденциальной информации в финансовых организациях:
- персональные данные клиентов финансовых организаций, паспортные данные, водительские удостоверения, контактные данные, адреса проживания, место работы, должность;
- данные о доходах и расходах клиентов финансовых организаций;
- данные об активах, имуществе, платежах, страховых событиях;
- сведения медицинского характера;
- номера банковских и страховых счетов, номера банковских карт;
- финансовое положение, сведения о зарплате, задолженностях, текущем состоянии счетов;
- сведения о переводах и финансовых операциях;
- персональные данные поручителей;
- планы зданий финансовых организаций (вентканалы, все входы и выходы, сейфы, пункты охраны и проч.)
Конфиденциальные данные финансовых организаций представляют особый интерес для злоумышленников и конкурентов, поэтому риски утечек закономерно высокие.
Внутренняя утечка любой конфиденциальной информации несет серьезные материальные и репутационные риски для любой финансовой организации.
Внутренние утечки могут быть намеренными и непреднамеренными, совершенными вследствие халатного отношения к информационной безопасности со стороны сотрудников.
Еще один фактор риска — мошеннические действия сотрудников финансовых организаций, имеющих доступ к конфиденциальным данным, с целью обогащения или получения иных выгод: оформление кредитов или займов на клиента без его ведома, кража чужих средств, подделка данных о клиентах, чтобы заключить как можно больше договоров, и проч.
Чтобы сохранить конфиденциальность данных и снизить риски мошенничества внутри организации, целесообразно использовать DLP-систему.
Как DLP-система SecureTower защищает охраняемую информацию финансовых организаций?
С помощью DLP-системы SecureTower организации финансовой и банковской отрасли могут обеспечить безопасность данных, предотвращать их утечки, а также гарантировать соблюдение некоторых законов о защите конфиденциальности данных.
Предустановленные политики безопасности SecureTower учитывают потенциальные риски ИБ в финансовом секторе экономики. При этом функционал системы предполагает возможность настроек пользовательских политик, закрывающих конкретные потребности.
Система контролирует все возможные каналы связи и анализирует действия сотрудников, дает доступ к аналитическим инструментам, которые позволяют:
- разоблачать мошеннические схемы, саботаж;
- предотвращать умышленные или непредумышленные действия, ведущие к утечкам конфиденциальных данных;
- стимулировать соблюдение трудовой дисциплины;
- отслеживать и пресекать превышение полномочий со стороны сотрудников и проч.
Особенности применения DLP-системы в государственном секторе экономики
Госучреждения обязаны соблюдать международные и межгосударственные требования для защиты конфиденциальных данных населения. Стандарты противодействия киберугрозам чрезвычайно строгие. Такие регуляторы, как ФСБ, ФСТЭК, Роскомнадзор, Минкомсвязи и ФСО, контролируют исполнение законодательных инициатив.
В числе нормативных документов, регулирующих работу с информацией:
- № 152-ФЗ «О персональных данных».
- 182-ФЗ «О безопасности КИИ».
- Закон РФ № 5485-1 «О государственной тайне».
- Указ Президента РФ № 188 от 6.03.1997.
- Приказ № 21 ФСТЭК России.
- Постановление Правительства РФ №1119 и проч.
Потенциальные риски
По данным СМИ «Ведомости», в 2023 году число кибератак на госсектор утроилось, при этом каждая третья утечка происходит по вине инсайдеров. Это на 10% больше показателей 2022 года.
Развитие электронного документооборота, использование сотрудниками госпредприятий электронной почты, мессенджеров и других популярных каналов коммуникации существенно повышают вероятность передачи конфиденциальных, персональных и иных охраняемых данных злоумышленникам. Чаще всего утечки происходят через соцсети, файлообменники и электронную почту.
Среди прочих инсайдерских (внутренних) угроз ИБ можно выделить разглашение государственной тайны, содержания законов и актов до момента публикации, вредоносное ПО, установленное по ошибке или намеренно, кража и передача охраняемой информации, саботирование работы систем. DLP-система SecureTower разработана для обеспечения целостности, доступности и конфиденциальности охраняемой информации.
SecureTower позволяет минимизировать риски утечек конфиденциальных данных за счет полного контроля документооборота на всех существующих информационных потоках.
Система органично интегрируется в бизнес-процессы организаций в государственном секторе. Разработчики SecureTower предоставляют организациям необходимые лицензии и сертификаты ФСТЭК для подтверждения соблюдения предписаний по защите информации и прохождения других проверок регуляторов.
Особенности применения DLP-системы на промышленных предприятиях с высоким уровнем секретности производства
Если в финансовом секторе у злоумышленников в приоритете, как правило, деньги, на промышленных предприятиях не всегда очевидно, какая секретная информация вызовет интерес. Ситуация осложняется тем, что доступ к коммерческой информации имеет широкий круг лиц: от инженеров, участвовавших в разработке продукта, до простых рабочих — отследить круг осведомленных бывает практически невозможно.
Потенциальные риски
Помимо рисков утечки коммерческой информации, персональной и конфиденциальной, можно выделить следующие, ведущие к серьезному материальному ущербу для любого промышленного предприятия:
- сокрытие брака, продажа бракованной продукции на сторону;
- коррупция и откаты в процессах закупок и обслуживания предприятия;
- кражи на производстве;
- утаивание происшествий на производстве с целью скрыть причины и виновных;
- передача доступа к автоматизированным системам управления технологическим процессом (АСУ ТП) злоумышленникам; это может привести к остановке производства, выходу промышленного оборудования из строя, порче продукции, авариям;
- передача конфиденциальной информации СМИ и проч.
Минимизировать риски краж, коррупции и передачи коммерческой информации заинтересованным поможет настройка политик безопасности и протоколов реагирования на нарушения в клиентской консоли SecureTower.
Агенты SecureTower, установленные на рабочие станции сотрудников предприятия, будут перехватывать и анализировать информацию, передаваемую по всем возможным каналам коммуникации, формировать отчеты по активности каждого исполнителя или всего коллектива сразу. В случае нарушений политик система оповестит офицера безопасности или иное ответственное лицо.
Важно: для защиты конфиденциальной информации на предприятии необходимо сначала ввести режим коммерческой тайны. В соответствии со статьей 10 федерального закона «О коммерческой тайне», меры по охране конфиденциальности информации должны включать в себя ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка.
Таким образом, установка DLP-системы будет гарантом ограничения доступа к коммерческой информации, позволит контролировать действия сотрудников, предотвращая хищения продукции, диверсии и утечку конфиденциальных и персональных данных.
Особенности применения DLP-системы в компаниях энергетического комплекса
В цифровую эпоху инвестиции в кибербезопасность в компаниях энергетического комплекса — это обязанность и необходимость. Отрасли по добыче и переработке топлива, электроэнергетика, предприятия по транспортировке и распределению электроэнергии привлекают злоумышленников масштабами, важностью выполняемых бизнес-процессов, потенциалом влияния на безопасность, экологию и жизнь граждан.
Так, по данным Positive Technologies, отрасль промышленности и энергетики входит в тройку наиболее часто атакуемых.
Компании энергетического комплекса должны не допустить передачу злоумышленникам удаленного доступа к автоматизированным системам управления (АСУ), т.к. это может привести к остановкам производства, выведению промышленного оборудования из строя и даже авариям. Последствия инцидентов будут драматичными: аварии могут затронуть целые регионы, и ущерб будет не только репутационный и материальный — могут пострадать люди.
Чаще всего предприятия энергетической сферы — это огромные концерны с большим количеством подразделений и подрядчиков. Главная уязвимость таких предприятий в том, что в полной мере информация ограниченного или закрытого доступа охраняется только в центральных узлах управления, в небольших подразделениях обычно не применяются должные меры по защите информации, что часто приводит к утечкам.
Установка SecureTower целесообразна для предприятий энергетического комплекса: система легко масштабируется на любое число рабочих станций и так же легко внедряется. Внедрение системы позволяет экономить человеческие и материальные ресурсы.
В зависимости от требований подразделения по обеспечению ИБ предприятия можно настроить любые правила безопасности и протоколы реагирования на инциденты, например:
- мониторинг использования и перемещения по любым коммуникационным каналам документов с грифами и печатями, договоров, актов и иных важных документов;
- мониторинг коммуникаций, в которых может быть разглашена конфиденциальная информация: сбои в работе, состояние используемого оборудования, различные ЧП, аварии и проч.;
- мониторинг коммуникаций на предмет коррупции, откатов в процессах закупок и обслуживания предприятия;
- мониторинг коммуникаций на предмет сокрытия ЧП, причин и виновных;
- контроль бездоговорного использования электроэнергии или топлива и проч.
При обнаружении нарушений правил безопасности система оповестит ответственное лицо или руководство предприятия для принятия экстренных мер.
Особенности применения DLP-системы в компаниях информационного обеспечения общества
Компании из сферы информационного обеспечения общества имеют доступ к чувствительной информации миллионов пользователей. Высокое число специалистов, имеющих доступ к базам данных, кадровая текучка, большое количество региональных представительств и высокая конкуренция часто приводят к утечкам конфиденциальных данных и увеличивают вероятность мошенничества со стороны персонала.
Программный комплекс SecureTower позволяет минимизировать риски утечки охраняемой информации по вине сотрудников. Агенты можно установить на любое число рабочих станций, так как система адаптирована на работу с большими массивами информации.
Функционал SecureTower позволяет гибко настраивать политики безопасности, чтобы предотвращать утечки данных и препятствовать мошенническим действиям со стороны персонала. Например, можно настроить следующие политики:
- мониторинг инцидентов, связанных с нарушениями тайны переписки, телефонных переговоров;
- контроль продуктивности сотрудников за рабочими станциями;
- мониторинг инцидентов, связанных с мошенничеством с SIM-картами;
- контроль доступа к базам данных клиентов;
- мониторинг инцидентов, связанных с разглашением конфиденциальной информации, несущей финансовые риски для компании.
Особенности применения DLP-системы в IT-компаниях
Большинство IT-компаний работают с большим массивом информации о пользователях, включая платежные и персональные данные. Конкуренция в отрасли высоких технологий жесткая: компании соревнуются не только за потребителей, но и за кадровые ресурсы. Текучка кадров и высокая конкуренция умножают риски утечки охраняемой информации.
Важно: компании, обрабатывающие и хранящие конфиденциальную информацию, должны проходить обязательную сертификацию. Установка DLP-системы SecureTower поможет доказать регулятору, что компания внедрила комплекс мер и решений для обеспечения информационной безопасности.
В задачи DLP-системы SecureTower, помимо защиты конфиденциальных данных от утечки по вине сотрудников, также входит контроль активности специалистов за рабочими станциями. Ответственное лицо может настроить политики безопасности, чтобы закрывать любые потребности организации:
- контроль начала и завершения рабочего дня специалиста, в том числе работающего удаленно;
- контроль продуктивности в течение рабочего дня, запуска сторонних приложений, игр, мониторинг злоупотребления мессенджерами;
- контроль лояльности сотрудников и поиск потенциально опасных специалистов, например, рассылающих резюме и планирующих перейти к конкурентам;
- мониторинг переписок на предмет передачи инсайдерской информации, которая может повлечь финансовые и репутационные риски;
- индексация всех рабочих станций для контроля перемещения важных файлов и документов.
Преимущество использования DLP-системы в IT-компаниях в том, что она может контролировать всех сотрудников за рабочими станциями, вне зависимости от их статуса внутри компании и степени доверия к ним со стороны руководства.
Также с помощью SecureTower можно выявлять пользователей, не зарегистрированных в системе, при этом активно коммуницирующих со специалистами компании с целью получить инсайдерскую информацию или переманить ценные кадры.
Особенности применения DLP-системы в компаниях транспорта и логистики
Логистические и транспортные компании оперируют огромным массивом данных, которые не должны покидать контур безопасности предприятий: персональная информация клиентов и пассажиров, информация о расценках и тарифах, базы клиентов, сведения о работниках, прокладываемые маршруты и проч. Такая информация может представлять интерес для конкурирующих компаний, контрагентов и злоумышленников.
DLP-система SecureTower позволяет предупреждать утечку конфиденциальной информации, при этом не ограничивая доступ сотрудников к ней.
Функционал системы дает возможность гибко настроить политики безопасности, например:
- мониторинг злоупотребления полномочиями среди логистов, водителей и иных специалистов, предотвращение воровства грузов или топлива;
- поиск и выявление ошибок в составлении маршрутов, расписаний, мониторинг попыток сокрытия таких ошибок;
- мониторинг переписок, звонков на предмет сокрытия инцидентов, аварий, порчи груза;
- поиск и выявление нелояльных сотрудников, рассылающих резюме или готовых перейти к конкурентам;
- контроль активности специалистов за рабочими станциями на предмет продуктивности: скорости обработки входящих заявок, составления маршрутов и проч.;
- перехват телефонных переговоров с целью проведения расследований инцидентов, конфликтных ситуаций с водителями, поставщиками, контрагентами для сокращения числа сорванных сделок, в том числе в рамках ретроспективы, и проч.
При нарушении политик SecureTower оповестит ответственное лицо для экстренного принятия мер.
Внедрение DLP-системы SecureTower в работу логистических и транспортных компаний будет способствовать повышению конкурентоспособности, сокращению числа сорванных сделок и сбоев в поставках.
Особенности применения DLP-системы в компаниях с высоким уровнем конкуренции
Компании с высоким уровнем конкуренции регулярно сталкиваются с инсайдерскими утечками данных и корпоративным шпионажем. Под прицелом у конкурентов базы данных поставщиков и клиентов, маркетинговые планы, отчеты и исследования рынка, состояние складов и проч. Любая утечка конфиденциальных данных может привести к существенному материальному и репутационному ущербу, вплоть до разорения бизнеса.
Внедрение DLP-системы в бизнес-процессы существенно сократит риски, связанные с утечками информации по вине сотрудников. Агенты (программные модули), установленные на рабочие станции исполнителей, будут перехватывать любую информацию, в том числе изображения и звонки, анализировать ее и при выявлении нарушений оповещать офицера безопасности или иное ответственное лицо.
В случае инцидентов, связанных с передачей критически важных данных конкурентам, отчеты DLP-системы можно использовать в суде в качестве доказательной базы. Важно: для защиты конфиденциальной информации на предприятии нужно ввести режим коммерческой тайны.
Функционал SecureTower позволяет настроить политики безопасности под потребности любого конкретного бизнеса, например:
- предотвращение попыток воровства или списывания продукции со складов, фактов коррупции и хищения денежных средств;
- мониторинг всех существующих каналов коммуникации на предмет общения с конкурентами, передачи важной информации конкурентам;
- контроль звонков и переписок с клиентами, поставщиками, контрагентами на предмет тактичного общения с целью расследования конфликтов, в том числе в рамках ретроспективы;
- контроль доступа к важным документам, планам развития, базам данных;
- контроль активности сотрудников за рабочими станциями и проч.
Внедрение DLP-системы SecureTower в работу компаний с высоким уровнем конкуренции поможет наладить бизнес-процессы, выявить инциденты, связанные с недобросовестностью исполнителей, предотвратить утечку конфиденциальных данных по вине сотрудников. Систему можно внедрить в процессы любых компаний, от малого бизнеса до крупных корпораций.
Особенности применения DLP-системы в компаниях научной сферы, ноу-хау, фундаментальных исследований, уникальных патентов
Требования к информационной безопасности в научной сфере сопоставимы с любыми другими сферами: конфиденциальность (ограничение неправомерного доступа к охраняемой информации), целостность (защита от неправомерного изменения данных), доступность (информация должна быть доступна).
Внедрение DLP-системы SecureTower в работу компаний научной сферы поможет предотвратить угрозы утечки охраняемых данных по вине сотрудников. Система будет перехватывать любую информацию, передаваемую по всем коммуникационным каналам, выявлять нарушения установленных политик безопасности и оповещать ответственных лиц.
Функционал SecureTower позволяет гибко настраивать политики безопасности под нужды конкретной компании, например:
- выявление случаев хищения, коррупции;
- поиск и выявление нелояльных сотрудников, ведущих переписку с конкурентами или рассылающих резюме;
- выявление фактов передачи конфиденциальной информации, результатов исследований конкурентам;
- контроль передачи разработок, ноу-хау до регистрации патента;
- контроль активности специалистов за рабочими станциями, времени начала и завершения рабочего дня, выявление фактов прогулов, злоупотребления соцсетями, мессенджерами, играми;
- контроль передачи конфиденциальной информации СМИ или иным заинтересованным лицам в обход интересов компании;
- индексирование всех рабочих станций для оценки сохраненной на них информации.
В заключение
DLP-система SecureTower регулярно обновляется, чтобы отвечать современным требованиям информационной безопасности внутри организаций.
Функционал системы позволяет гибко настраивать политики безопасности и блокировки, чтобы закрывать потребности предприятий внутри любой отрасли промышленности.