ТЕХНОЛОГИИ
Новые инструменты помогают предотвратить потерю данных, но нельзя забывать о людях
Камерон Стардевант
Сегодня целая армада производителей предлагает продукты для защиты данных, призванные помочь подразделениям ИТ предотвратить утрату производственных секретов, конфиденциальных сведений о клиентах и не подлежащей разглашению информации о сотрудниках, хранящейся в электронной форме.
Так почему же мы вновь и вновь слышим истории вроде той, что произошла в конце мая, когда в результате кражи ноутбука были разглашены личные сведения о более чем 26 млн. ветеранов вооруженных сил США?
Дело в том, что многие случаи хищения данных, с которыми мы сталкивались за последние несколько лет, связаны с утратой физических носителей информации. Масса проблем возникла по причине кражи или потери диска, ноутбука или листка бумаги, а вовсе не в результате взлома электронной системы. Ведь мы имеем и всегда будем иметь дело с людьми. А они совершают ошибки, порой недостаточно профессионально подготовлены и иногда сознательно стремятся нанести вред.
Человеческий фактор нельзя сбросить со счетов. К счастью, на рынке появляются новые продукты, которые не позволяют людям умышленно или невольно подвергать конфиденциальные сведения риску разглашения.
| Если успех организации зависит от доверия ее клиентов, то один из способов выделиться на общем фоне заключается в обеспечении более надежной защиты конфиденциальных сведений по сравнению с конкурентами. |
Традиционные продукты для защиты данных ведут мониторинг информации при ее перемещении, например при передаче по электронной почте или по протоколу FTP. При неавторизованной попытке такого рода они заносят это событие в журнал и даже прерывают отправку сообщения или файла.
Но теперь предлагаются инструменты для эффективной защиты данных, находящихся "в состоянии покоя", в частности хранящихся на дисках или в виде совместно используемых файлов. С помощью таких инструментов системы защиты могут фильтровать источники информации и обнаруживать закрытые данные, которые хранятся не там, где положено. Если такие сведения - их группа часто называется совокупностью - помещены в уязвимое хранилище, выдается сигнал тревоги. Это позволяет принять меры, руководствуясь правилами, принятыми в ИТ-отделе.
Независимо от того, перемещаются данные или просто хранятся, организации могут использовать инструменты их защиты для соблюдения нормативных требований, предъявляемых к управлению информацией. Например, если компания хранит номера карточек социального страхования своих клиентов, но ее политика требует, чтобы эти номера никогда не пересылались по электронной почте, инструменты защиты данных помогут добиться того, чтобы почтовые сообщения, содержащие номера карт социального страхования, не передавались.
| Многие случаи хищения данных, с которыми мы сталкивались за последние несколько лет, связаны с утратой физических носителей информации. |
Это простой пример. Современные инструменты защиты данных фирм Vontu, Vericept и Tablus позволяют создавать и применять гораздо более сложные правила.
Цели защиты данных
Приступая к защите данных, нужно прежде всего предусмотреть процесс авторизации. Инструментам защиты данных сообщают, что входит в совокупность закрытых данных, где эта совокупность хранится, куда ее можно передавать, кто может получать к ней доступ и в какое время и даже какую ее часть разрешено перемещать.
Существуют разные методы реализации этого процесса. Но подобно системам обнаружения и предотвращения вторжений или средствам борьбы со спамом, продукты для защиты данных должны обеспечивать низкий коэффициент ложных срабатываний, очень высокий процент идентификации закрытых данных и как можно более удобные средства администрирования. Поистине сложная задача.
Практически все такие инструменты могут описывать сведения и находить сходную информацию, которая нуждается в защите. Различия между продуктами начинаются тогда, когда необходимо обнаруживать закрытые данные, не поддающиеся простому описанию.
Одни изощренные методы идентификации используют копии данных, с которыми сравнивают все, что передается. Другие предусматривают применение в этих же целях хеширования конфиденциальной информации. Кроме того, при принятии решения блокировать или допустить передачу сообщений, содержащих закрытые сведения, учитываются сведения о времени суток, дне недели, имени пользователя и другая информация из каталога.
После определения совокупности секретных данных и создания правил блокирования их передачи перед ИТ-руководителями встает задача установки пределов допустимого использования закрытых сведений. Для ее решения необходимо привлечь бизнес-менеджеров.
| Порядок обращения с ценными данными Независимо от степени важности данных, их нужно защищать, но одновременно предоставлять их всем, кто имеет соответствующие права. - Сведения о клиентах. Сами по себе являются ценностью, но часто пересылаются за пределы предприятия. Порядок их использования регулируется во многих организациях. - Данные о зарплате и истории болезней сотрудников. Доступ к ним, как и к сведениям о характере работы, должен быть строго ограничен. - Интеллектуальная собственность и производственные секреты. Такая информация вообще не должна появляться в сети. Если это произошло, следует поднимать тревогу. - Конфиденциальная информация о деятельности компании. Руководящие документы, нормативные акты и объявления с указанием конкретных сроков могут передаваться за пределы компании, но только под жестким контролем. |
На данном этапе также проявляются различия между средствами защиты данных. Насколько полезным оказался тот или иной инструмент при создании правил? Способен ли конкретный продукт взаимодействовать с действующими системами выделения ресурсов пользователям и тем самым упростить их авторизацию или лишение прав доступа к сети? Смогут ли неспециалисты в области безопасности научиться работать с инструментом для создания эффективных правил?
Необходимо отметить, что в настоящее время инструменты защиты данных делают акцент на запрете, а не разрешении тех или иных действий пользователя. Поэтому они заранее настроены на блокирование закрытых сведений при выполнении одного или нескольких условий. Например, может быть задана настройка вроде следующей: "Блокировать данные, если верны условия x, y и z, в прочих случаях разрешить передачу".
С точки зрения нормативных актов формулировка "в прочих случаях" может рассматриваться как слишком мягкая. Однако, поскольку инструменты защиты пока не получили массового распространения и находятся на этапе испытаний, не стоит удивляться, что они сфокусированы на правилах блокировки, которые снижают вероятность ложных срабатываний. Видимо, это объясняется тем, что даже небольшое число ложных запретов вызвало бы крайне негативное отношение к инструменту со стороны конечных пользователей.
Сколько точек контролировать?
Рассмотрим основные пункты, в которые могут передаваться закрытые данные. Сюда входят системы обмена сообщениями (Message Transfer Agents, MTA; в частности Sendmail или Microsoft Exchange), прокси-серверы Интернета, серверы FTP, совместно используемые файлы и базы данных, расположенные на серверах центров обработки данных, ноутбуках, переносных устройствах хранения и других носителях.
Перемещение данных на некоторые из этих пунктов, в том числе на новый физический носитель, требует применения правил. Обычно для этого служат правила для групп или средства физического контроля, позволяющие блокировать перенос данных в не предназначенное для этого место. При выборе способа защиты ИТ-руководителям следует проанализировать все возможные пункты контроля, чтобы увидеть, как используемый инструмент для защиты данных справляется с интерпретацией и блокированием сетевых протоколов.
Цена защиты
Подсчет затрат на обеспечение безопасности почти всегда носит гипотетический характер и сводится к сравнению стоимости средств защиты и потенциального ущерба, который они могут предотвратить. В условиях все еще высокой конкуренции на развивающемся рынке инструментов защиты данных мы рекомендуем ИТ-менеджерам договариваться с поставщиками о скидках и дополнительном обучении персонала, а также широко использовать пилотные проекты.
| Крупнейшие утечки информации За последние несколько лет появились десятки сообщений о краже данных. Ниже перечислены те, которые относятся к наиболее крупным и опасным: Май 2006 г.
Управление по делам ветеранов вооруженных сил США. Сообщается о краже ноутбука с персональными идентификационными данными о более чем 26 млн. ветеранов. Март 2005 г.
LexisNexis. Поисковая компания стала жертвой мошенничества. Отмечено 59 отдельных случаев, которые привели к краже из ее баз данных сведений о 310 тыс. лиц. Февраль 2005 г.
Bank of America. Номера и балансы 670 тыс. счетов были обнаружены в компьютерах, которые полиция захватила в Нью-Джерси. Подозреваемые в краже продавали данные юридическим фирмам и агентствам, специализирующимся на сборе информации. Февраль 2005 г.
ChoicePoint. Организация, предоставляющая информацию по кредитам, объявила, что посторонние лица получили доступ к ее записям о 163 тыс. потребителей. В январе 2006 г. с ChoicePoint взыскано 15 млн. долл. Это самый крупный штраф по гражданским делам за всю историю Федеральной комиссии по торговле. В течение 20 лет компания обязана ежегодно проходить независимую аудиторскую проверку на предмет соблюдения требований безопасности. |
Системы защиты данных могут быть полезны и для получения преимуществ в конкурентной борьбе. Если успех организации зависит от доверия ее клиентов, то один из способов выделиться на общем фоне заключается в обеспечении более надежной защиты конфиденциальных сведений по сравнению с соперниками.
Соответствующие инструменты могут уменьшить "трудности аудита", как мы их называем. Будет легче пройти аудиторскую проверку, если автоматизировать управление и составление отчетности, показывающей, что организация соблюдает требования законодательства. Руководители по ИТ, которые фактически помогают бизнес-менеджерам пройти аудит, косвенно способствуют достижению желаемого результата.
Кроме того, инструменты защиты данных способны упростить сотрудникам ИТ-отдела и бизнес-менеджерам решение инфраструктурных проблем, которые традиционно считаются трудными. Например, средства защиты обычно требуют, чтобы источник данных был надежным, другими словами, он должен быть безупречным с точки зрения актуальности, точности и полноты собранных сведений. Обычно это достигается путем консолидации баз данных, каталогов и файловых систем.
Учтите также, что защитные инструменты нужно интегрировать со службой технической поддержки или иными системами, задействованными в бизнес-процессах организации. Это необходимо для выполнения исправляющих действий с участием человека. Так, подобный инструмент может заблокировать пересылку конфиденциальной информации через почтовую систему компании, вывести предупреждающее сообщение, внести в журнал запись о пресечении попытки недопустимого использования данных и подготовить отчет, в котором будут отражены все эти шаги. Однако участие человека все равно необходимо. Ведь должен же кто-то убедиться, что конечному пользователю, пытавшемуся осуществить недопустимую передачу данных, указано на его ошибку.
Это одна из вероятных причин того, что защита данных останется быстро меняющейся и вечно актуальной областью. Ведь хорошо это или плохо, но практически любое неверное использование данных вызвано действиями человека.
