Как найти виновника утечки, если документы попали в сеть

На сегодняшний день почти в каждой организации есть большие (или не очень) файловые серверы, на которых хранится большое количество различный файлов и документов. Бизнес процессы зачастую обустроены так, что к серверу могут иметь доступ почти все сотрудники, причем к различным хранилищам документов. Вследствие этого, информация на сервере распространяется хаотично и порой, файлы с конфиденциальной информацией или персональными данными попадают в общий доступ.

Согласно глобальному исследованию утечек конфиденциальной информации за 2018-й год, проведенному компанией InfoWatch, 69,5% утечек — это персональные данные. При этом причиной более чем половины утечек информации явились преднамеренные или случайные действия сотрудников. Наиболее уязвимым местом в сохранении информации является утечка через сеть (браузер или облачные сервисы). Реже, но всё же достаточно часто конфиденциальная информация покидает периметр организации на бумажных носителях. Такое случается ввиду неверного распределения прав доступа, а также отсутствия возможности контроля документооборота на файловых ресурсах, в т.ч. и человеческий фактор. Немаловажной задачей также является не только предотвращение утечки, но и расследование инцидента и определение круга лиц, причастных к разглашению информации.

Естественно размещение конфиденциальной информации нужно контролировать. Хорошим решением в данном случае синергия решения Cross Technologies Docs security suite (DSS) и Netwrix Auditor Data Discovery and Classification (DDC). С помощью данной «связки» возможно, как предотвратить утрату информации, так и найти виновных, даже если в сеть попала только фотография небольшого куска документа, как на бумажном носителе, так и снимок монитора.

Несколько слов о рассматриваемых решениях.

Crosstech Docs security suite (DSS) — это платформа управления, контроля и аудита прав доступа к электронным документам на основе меток конфиденциальности. DSS незаметно для пользователя проставляет визуальные и/или скрытые метки на документы, регистрирует все действия пользователя с документом, прослеживает взаимосвязь документов, разграничивает и контролирует права доступа пользователей на основе матрицы доступа меток конфиденциальности. Вся история событий сохраняется в специализированной базе данных для дальнейшего анализа и расследования инцидентов.

Netwrix Auditor Data Discovery & Classification Edition (DDC) — решение, которое позволяет ІТ-специалистам расставлять приоритеты при обеспечении защиты конфиденциальных данных. Его внедрение обеспечивает идентификацию, классификацию и защиту конфиденциальной информации, согласно международным и отраслевым требованиям по информационной безопасности.

Таким образом, сценарий защиты информации будет следующим.

DSS проставляет в документе стеганографические метки, а также записывает служебную информацию в поле метаданных. Этим мы уже обезопасим документ от удаления стандартных метаданных пользователем.

Из имеющихся данных можно установить когда, кем, в каком домене документ был создан или изменён, на каком компьютере, какая категория у документа, а также уникальные идентификаторы и пр.

Далее, на основе имеющихся меток мы можем значительно облегчить работу по классификации данных используя уже DDC. Например, ссылаясь на пятое поле в метаданных имеется возможность отсортировать все данные по их меткам конфиденциальности. И в случае появления закрытой информации в публичной папке, Netwrix DDC имеет возможность автоматически переместить такой документ в защищенное хранилище с изменением прав доступа до этого файла. Пример правил, используемых для этого в Netwrix DDC представлен ниже.

Мы видим, что все файлы с пометкой «Конфиденциально» и находящиеся не в папке ...\confidential буду промаркированы, как конфиденциальная информация в неположенном месте.

А после пометки, потенциально конфиденциальные файлы будут перемещены в защищенную папку «\\192.168.8.55\На проверку», для дальнейшей ревизии администраторами безопасности.

Так же с помощью Netwrix DDC можно найти все файлы, в которые не проставлена или удалена скрытая метка DSS. Для этого применяется такой фильтр.

Метаданные записываются внутри документа и не будут видны пользователям через окно «Свойства»-«Подробно», что позволит найти все документы любого пользователя, даже если он умышленно удалит служебную информацию штатными методами. Для этого используется простой поиск по скрытым метаданным. А добавив еще одну строку, появятся все документы пользователя, которые были отредактированы не на его рабочем компьютере.

Заключение

Совместное использование двух продуктов предоставляет собой полнофункциональное решение для контроля электронного документооборота внутри организации. Проблема утечки информации из открытых файловых источников полностью решается. Упрощается поиск и классификация файлов, содержащих информацию конфиденциального характера. В случае же распространения информации вне организации возможно расследование инцидента и ограничение круга причастных путём изучения скрытых метаданных документа, а также с помощью анализа скрытых стенографических меток уже внутри текста документа.