В своей работе мы часто сталкиваемся с мнением о том, что система EveyTag гарантированно вычисляет инсайдера, но не защищает от самих утечек. Ведь она пока не может заблокировать любое запрещенное действие сотрудника и обнаруживает их лишь постфактум. А значит, не может уберечь компанию от будущих инцидентов.
Однако на практике это утверждение некорректно. Технология EveryTag способна предотвратить бо́льшую часть потенциальных утечек за счет превентивного эффекта, оказываемого на психологию сотрудников. Расскажем, как это работает.
Ситуация на рынке
На рынке ИБ уже есть различные системы, которые запрещают некоторые операции с документами, например, их отправку по почте или скачивание на съемный носитель. Но они оказываются бессильны, если информация выводится на экран или распечатывается. В эти периоды любой документ можно сфотографировать на смартфон или сделать скриншот с исходного устройства. Большая часть систем безопасности не сможет отследить такие действия. К примеру, по данным InfoWatch, более 12% утечек в России происходит через бумажные документы.
При этом многие специалисты по кибербезопасности считают, что нужно сосредотачиваться на предотвращении, а не на реагировании на такие инциденты. Напрасно: исследование Ponemon Institute and Deep Instinct показывает, что за счет стратегии профилактики можно сэкономить до 82% затрат на жизненный цикл кибербезопасности. Как это работает в случае с EveryTag?
Профилактика помогает
В нашей практике был случай: в крупной телеком-компании после смены руководства и корпоративной политики активизировался инсайдер. Он стал анонимно публиковать в сети конфиденциальные сведения о процессах внутри организации. В компании было несколько тысяч работников, сотни имели доступ к чувствительной информации. И кто-то обходил все системы защиты, просто фотографируя отсканированные документы на собственный смартфон. Действовал инсайдер умно и аккуратно, и вычислить его не удавалось.
Тогда в компании решили пойти другим путем. Если нельзя установить личность злоумышленника, то можно заставить его прекратить сливать информацию. Мы интегрировали технологию EveryTag на всех уровнях инфраструктуры корпорации. При этом в компании открыто объявили о внедрении новой системы защиты данных. Вскоре утечки прекратились — судя по всему, инсайдер решил, что сливать данные стало слишком рискованно.
Да, ему удалось избежать наказания за прошлые преступления, но куда важнее то, что он перестал наносить ущерб компании — как репутационный, так и финансовый. Профилактические меры доказали свою эффективность: с момента внедрения продуктов EveryTag в этой организации уже несколько лет не фиксировалось ни одной утечки данных.
К чему приводит отсутствие превентивных мер
Чтобы представить себе, к каким последствиям может привести игнорирование превентивных мер защиты информации, обратимся к громким инцидентам. Так, в начале 2014 года Квентин Тарантино объявил о сливе сценария будущего фильма «Омерзительная Восьмерка». 146 страниц материала были опубликованы всего через несколько дней после того, как знаменитый режиссер разослал копии актерам и съемочной группе.
Одной из причин инцидента стала недостаточная забота о защите сценария. Традиционно в Голливуде всю важную информацию шифруют и помечают уникальными метками. Некоторые дорогостоящие проекты обзаводятся продвинутыми системами безопасности. Так, Роланд Эммерих использовал для сценария «Падения Белого дома» специальные бланки с голограммами, которые не позволяли делать копии. Многие студии используют для хранения сценариев специальные программы, которые сохраняют текст доступным только на определенное время или ограниченное число просмотров.
В случае с «Омерзительной Восьмеркой», напротив, не было предпринято достаточных мер безопасности. Люди, в чьи руки попал сценарий, утверждали, что на нем не было даже водяных знаков и других стандартных для Голливуда средств защиты информации. Фильм в результате все же вышел в свет в декабре 2015 года. Однако для этого Квентину пришлось переписать сценарий и потратить месяцы дополнительной работы.
Вышеупомянутые примеры показывают, что во многих сферах консервативный подход с максимальным ограничением на обмен информацией неэффективен. В большинстве случаев передача чувствительных данных коллегам и контрагентам — необходимая мера. Именно здесь нужен подход, с помощью которого можно гарантированно вычислять нарушителей в случае утечки. В конечном счете это влияет на мышление сотрудников, формируя культуру более ответственного отношения к работе с корпоративной информацией. Так технология идентификации инсайдера превращается в систему профилактики, которая эффективно защищает информацию от утечек в будущем.