DLP SecureTower: как создать правило контроля по словарю?

Анастасия Завадская

Менеджер по развитию бизнеса, ведущий специалист отдела продаж

Мы продолжаем рассказывать о возможностях DLP-системы SecureTower и объясняем, чем она может быть полезна для вашей организации.

Одна из основных задач DLP — контроль и предотвращение утечки важных для компании документов. Безусловно, можно использовать для данных целей методы, которые рассматривали ранее (цифровые отпечатки и обычный поиск), однако цифровые отпечатки мы формируем только из текстовых файлов, а с помощью обычного правила мы производим поиск только определенных слов и фраз.

Создание правила безопасности по цифровому отпечатку мы рассмотрели в этой статье, а создание обычного правила подробно описано здесь.

Технология контроля по словарю необходима, когда важно контролировать употребление нескольких слов или фраз одновременно.

В этом материале мы с вами  рассмотрим, как работает правило контроля по словарю и как его настроить.

Как работает правило контроля по словарю?

Давайте разбираться.

Одно из преимуществ DLP-SecureTower — готовый набор шаблонных правил и словарей. Можно использовать систему сразу «из коробки». А можно создавать свои собственные тематические словари с учетом специфики работы, а именно используемых профессиональных терминов и особого жаргона. Например, среди юристов можно отметить такие жаргонизмы:

• «гена» — генеральный директор;
• «ходуля» — ходатайство;
• «физики и юрики» — физические и юридические лица.

Свойственные вашей компании жаргонизмы можно добавлять в соответствующие словари и использовать для настройки правил.

Еще один важный нюанс, на который стоит обратить внимание при создании словарей, — это эвфемизмы, то есть слова, которыми заменяют нежелательную лексику.

Так, в некоторых компаниях персонал сочиняет собственные эвфемизмы, чтобы не использовать «неудобные» выражения. Зачем? Чтобы скрывать попытки получения взяток, факты коррупции, откатов, нарушения трудового распорядка, хищений, мошенничества и других нарушений.

Это не только стандартные «благодарность» и «признательность». В нашей практике мы встречали такие милые и творческие замены, как «ништяк», «кофе с булочкой» вместо «взятка», «отнести в ремонт» вместо «украсть», «давай перекусим» вместо приглашения сыграть матч в компьютерной игре — в рабочее время. Эти замены пусть и оригинальные, но указывают как минимум на нарушение трудового распорядка, как максимум — на должностное преступление.

В системе уже имеется более 170 предустановленных словарей на разных языках: русском, испанском, казахском, узбекском и английском.

Тематики предустановленных словарей разные: «Резюме», «Азартные игры», «Алкогольная тематика», «Бухгалтерский баланс» и множество других.

Важно! Предустановленные словари нельзя редактировать, но можно скопировать содержимое и создать свой словарь на вкладке «Пользовательские словари» и внести корректировки.

Как создать правило контроля по словарю?

Рассмотрим создание правила контроля по словарю на следующем примере. Допустим, руководство компании поставило задачу контролировать сотрудников, которые планируют в скором времени сменить место работы.

Своевременное обнаружение данного факта позволит перераспределить трудовые обязанности, а также предотвратить утечку ценных кадров. 

Но самое важное — это контроль документации, которую сотрудники часто воспринимают как свою интеллектуальную собственность. По данным аналитического отдела компании Falcongaze, 30% уволившихся сотрудников предпочитают «забирать с собой» результаты своего труда. А в случае, если сфера деятельности нового места работы совпадает с предыдущим, этот показатель достигает 90%.

Итак, из стартового окна переходим в модуль Политики безопасности — здесь мы можем создавать, настраивать и корректировать правила безопасности.

Для добавления правила контроля по словарю нужно перейти на вкладку «Правила». На панели инструментов нажимаем кнопку «Добавить» и выбираем из списка пункт «Контроль по словарю».

Откроется окно добавления правила безопасности. Введите название создаваемого правила. Также вы можете ввести описание. Для этого нажмите на иконку «Раскрыть», расположенную справа от поля введения названия.  Вносить описание необязательно, при этом оно может использоваться для различных заметок, уточнений, нюансов — они будут полезны вам и другим специалистам, которые будут работать с системой.

Выбираем словарь

Следующий шаг — выбрать словарь, с которым SecureTower будет сверять перехваченные данные. Для этого кликните в поле «Словарь» и выберите нужный в раскрывшемся списке. 

Важно! Фразы и слова необходимо вписывать в отдельные строки. В данном примере 70 строк, при этом слов — гораздо больше.

Для того чтобы решить задачу, которую перед нами поставило руководство, мы выберем предустановленный словарь «Договор». Наши разработчики добавили в него такие слова и словосочетания, как «обязательства», «протокол», «срок действия», «юридический адрес», «предмет договора», которые напрямую или косвенно могут быть связаны с утечкой именно данного документа.

Устанавливаем порог срабатывания

После выбора словаря необходимо установить порог срабатывания, соответствующий количеству слов и выражений, при одновременном обнаружении которых в одном документе будет использоваться поисковое условие. Мы перемещаем слайдер на значение «1 из 70».  В данном случае поставим порог «6». Это значит, если одновременно система обнаружит 6 и более строк из словаря, мы получим инцидент. 

Важно! 6 разных строк из списка должны одновременно встретиться в документе. Если система обнаружит 6 раз одну строку, то реакции не будет.

Чтобы система искала не только прямое вхождение слов и словосочетаний из словаря, но и учитывала падежные формы, ошибки и опечатки, ставим галочку в поле «Учет морфологии».

На заметку! Учет морфологии позволяет выявлять намеренно замененные в словах буквы на различные символы или цифры. Например, замену всех «о» в словах на цифру 0: к0нфиденциальн0, д0кументы, пр0цент. Это дает возможность своевременно обнаруживать махинации сотрудников, которым известно, что работодатель ведет наблюдение с использованием DLP или какого-либо другого ПО. 

Выбираем дополнительные условия

Мы можем сузить область поиска до конкретного информационного канала, добавив дополнительное условие «Область поиска» и установив логический оператор «И».

Перед нами стоит задача выявлять факты передачи документов сотрудниками, планирующими менять работу. Мы выберем следующие информационные каналы: электронная почта, мессенджеры, web, USB и принтеры. 

Чтобы система не дала огромное количество ложных сработок (которые кто-то должен будет проанализировать!), уточним правило еще одним условием: мы будем искать сотрудников, утвердившихся в своем желании сменить место работы, то есть только тех, кто уже отправил или собирается отправить резюме или документ, содержащий слова из выбранного словаря.

Для этого добавляем еще одно условие «Статус документа» и заполняем поля, как указано на изображении. Не забываем правильно выставить логический оператор. В нашем случае это «И».

Чтобы создаваемое правило сработало в рамках ретроспективы и проанализировало уже перехваченные данные, нужно активировать соответствующий переключатель в нижней части рабочего окна. Ретроспективный анализ может занять время

Настраиваем уведомления об инцидентах

Вы можете настроить автоматическое уведомление об инцидентах. 

Для этого во вкладке «Настройки уведомлений» нужно активировать соответствующий переключатель и выбрать получателей. Оповещения могут приходить как офицеру безопасности, так и непосредственному руководителю нарушителя.

Теперь о том, что сотрудник планирует покинуть компанию и забрать документы, узнают все уполномоченные — своевременно и со всеми подробностями.

Итак, правило готово. Ждем кнопку «Сохранить» и оцениваем результат.

Анализируем результаты 

DLP дала 13 сработок по заданному правилу. Давайте разбираться, почему так.

Для удобства вы можете отсортировать сработки по пользователям, типу данных и дате перехвата. 

Отсортировав список, мы быстро обнаружили, что сотрудница Кравцова Елена отправила вложения с документами в свой личный мессенджер.

Смотрим активность сотрудника в день нарушения.

На заметку! При клике по сработке система развернет подробности инцидента, а еще — отобразит перехваченный документ, в котором желтым подсветит слова, на которые сработало правило.

Обращаем внимание, что в системе предусмотрена возможность открыть полную статистику по активности специалиста за день, в котором обнаружен инцидент. Быстро и просто — одним нажатием.

Рассматриваем статистику за день — и получаем подтверждение: Елена активно ищет новую работу, а также отправляет рабочие файлы в свой личный аккаунт мессенджера.

Что дальше?

Дальнейшие действия зависят от политики каждой конкретной организации. В некоторых компаниях сотрудников, намеревающихся сменить работу, вызывают на беседу, уточняют причину недовольства, предлагают более выгодные условия сотрудничества. В других руководители как можно скорее завершают трудовые отношения с сотрудником, своевременно отозвав доступы от систем и сервисов организации и заблокировав возможность проводить нежелательные операции с конфиденциальными документами компании.

Вы также можете настроить блокировку нежелательных операций с конфиденциальными документами для каждого конкретного специалиста.

За каждым нашим клиентом мы закрепляем менеджера и технического специалиста, которые помогут правильно настроить правила безопасности под конкретные задачи организации, а также обучат правилам работы с системой.

Опробовать возможности SecureTower в вашей организации можно бесплатно в течение 30 дней. Оформите заявку на тестовое использование тут.