CC BY
149
Системы защиты персональных данных
Ключевые слова:
Защита персональных данных, утечка информации, технология DLP/ информационная безопасность
Статья посвящена актуальному вопросу защиты персональных данных в преддверии вступления в силу ФЗ №152. Автор анализирует причины необходимости защиты данных такого рода, приводит классификацию типовых утечек информации. Особое место в статье отводится обзору технологии DLP (Data Loss Prevention), направленных на защиту критичных данных. Подробно раскрыты подходы, которые используют разработчики при создании DLP систем, а также ключевые проблемы, с которыми приходится сталкиваться при их внедрении.
Алексей Чередниченко,
ведущий специалист McAfee в России и СНГ, Alexey_Cherednichenko@McAfee.com
"Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация" (Федеральный закон РФ №156, статья 3).
"Персональные данные означают любую информацию об определенном или поддающемся определению физическом лице (субъект данных)" (Федеральный закон РФ №160).
2009 г. прошел на российском рынке информационной безопасности под знаком закона о персональных данных. Согласно его положений все организации, так или иначе использующие персональные данные (см. врезку) обязаны привести свои процессы их обработки и хранения в соответствие с требованиями закона к январю 2010 г. Это в равной степени касается процедур проверки и фиксирования данных удостоверения личности посетителей бизнес-центров, и процедур хранения и анализа баз данных о клиентах оператора сотовой связи. Одним из наиболее дискуссионных аспектов новых требований к процедурам стал вопрос о надлежащей защите персональных данных в распоряжении компании.
Корпоративные ИТ-службы, команды 1Т-специалистов системных интеграторов и компаний-вендоров решений информационной безопасности приложили массу усилий к созданию и внедрению систем управления и защиты персональных данных, однако в течение года мы видели не так уж и много успешных кейсов. На момент написания статьи, окончательное решение о переносе сроков вступления в силу положений о санкциях против компаний-нарушителей еще не принято. Однако очевидно, что 2011 г. также будет годом внедрения систем защиты данных.
Необходимость качественной защиты такого рода информации очевидна. Любая комбинация данных о прописке, страховке, семейном положении в руках мошенника напрямую угрожает вашей личной безопасности человека. И сегодня такие данные более чем доступны. Достаточно просто посетить любой крупный компьютерный рынок или электронный торговый центр. Конечно, диски с базами не стоят на прилавках, вместе с популярным программным обеспече-
нием и новыми играми, но, как правило, после нескольких правильно заданных вопросов за 2-3 тыс. руб. можно получить все необходимое. И в том числе данные о местах работы, транспортных средствах и взятых кредитах.
Доступные базы уже подготовлены для удобной работы с ними, они грамотно структурированы и имеют удобный интерфейс. Например, можно в окне поиска ввести имя и фамилию и получить полную информацию о данных паспорта, прописке, домашнем и мобильном телефоне.
Происхождение таких баз, тоже по большому счету очевидно. Практически каждый из многих миллионов россиян вольно или невольно предоставляет персональные данные о себе в государственные структуры и частные компании, которые уверяют нас в полной конфиденциальности предоставленных данных. На деле же очень часто базы, предназначенные исключительно для служебного пользования становятся достоянием третьих лиц, которые успешно продают их.
Для мошенников подобная информация весьма ценна, фактически им в руки дан список потенциальных жертв на выбор, с адресами и номерами телефонов. В лучшем случае вас могут досаждать назойливые продавцы различных товаров "первой" необходимости. В худшем вас могут начать шантажировать или банально ограбить. На ваше имя могут зарегистрировать предприятие и совершать через него мошеннические действия, причем по российскому законодательству вы окажетесь не пострадавшим, а соучастником преступлений, опровергнуть это бывает чрезвычайно сложно.
Впрочем, эта проблема отнюдь не "российская специфика". Проблема утечки, хищения и злоупотребления конфиденциаль-
ными персональными данными в странах с развитыми ИТ и финансовыми процессами стала настолько актуальной, что в результате появилась отдельная прикладная область информационной безопасности, которая была названа DLP (Data Loss/Leakage Prevention) или предотвращение утечек информации. Она вызвала бурное развитие сегмента рынка продуктов и услуг в области борьбы с утечками и обеспечения безопасности критичных данных. К этому необходимо добавить сопутствующие продукты рынка, такие как обучение и сертификация.
До недавнего времени в России, к сожалению, уделялось крайне недостаточное внимание данной проблеме. Поэтому сегодня даже у специалистов еще нет достаточно глубокого понимания средств информационной безопасности, построения правильных процессов обеспечения защиты критичных данных.
Классификация утечек.
Концептуально существует два канала утечки данных в информационных сетях; это сеть передачи данных и, мобильные устройства, к ним же следует относить и мобильные носители данных. Далее можно продолжать деление на типы сетей и устройств, но это уже подробности в которые мы вдаваться не будем.
По причинам утечки можно условно разделить на внутренние и внешние. К внешним утечка относят, например, успешную DDoS атаку с дальнейшим проникновением внутрь периметра корпоративной безопасности и получением доступа к искомым данным. К внутренним утечкам, а именно к ним относится на сегодняшний день более 90% всех утечек данных, относятся ситуации с умышленными или неумышленными действиями сотрудников компаний и организаций, в результате которых конфиденциальность данных была нарушена. В качестве примера неумышленной компрометации можно назвать, наиболее часто встречающуюся ошибочную отсылку конфиденциальной информации по электронной почте. Что же касается сознательного хищения данных, это куда более сложные и интересные с точки зрения ИБ-специалиста случаи, требующие значительно большей экспертизы, опыта, да и инженерной смекалки.
Как уже было отмечено данное деление условное, так как в последнее время наблюдаются смешанные причины утечек. Примером может служить внедрение "троянской" программы используя уязвимости web-бра-
узеров и социальный инжиниринг в спамо-вых рассылках. Данные письма имеют ссылки на зараженный web-сайт, с которого и производится загрузка данного вредоносного ПО, которое уже осуществляет непосредственно хищение данных.
Подходы к созданию DLP систем.
К сожалению, защитить критичные данные, в том числе и персональные данные клиентов и контрагентов, на 100% не сможет ни одна компания. Нынешнее развитие технологий DLP позволяет лишь минимизировать риски.
Один из подходов, используемый в DLP — анализ контента. Данный принцип не зависит от специфики канала утечек, и основан на анализе содержимого файлов или потоков при передаче их по сети или при операциях сохранения, копирования или переносе на различные носители информации. Целью данного анализа является локализация конфиденциальных данных и предотвращение их нелегального выхода за периметр безопасности. Тут следует пояснить, что периметр безопасности и "стены офиса" далеко не всегда обозначают одно и то же. Так, данные на корпоративном ноутбуке даже вне пределов корпоративной сети могут быть надежно защищены средствами шифрования и политиками безопасности, за соблюдением которых следит установленная на ноутбуке программа-агент.
Определение конфиденциального содержимого производится, как правило, по списку ключевых слов, составляющих основу конфиденциальной информации. Различные производители по разному подходят к этому вопросу и реализуют эти механизмы на основе алгоритмов фильтрации контента, либо контекстной фильтрации. Эти методы использовались как основные в первых версиях систем DLP. Но все они имеют несколько недостатков, в числе которых сравнительно низкая скорость работы и сравнительно низкая точность определения. Кроме этого, система фильтрации контента допускает ошибки ложного срабатывания, определяя открытые данные как конфиденциальные.
Более совершенная система основана на принципе "грифования" электронных документов, названная так по аналогии с тем, как грифуются бумажные документы. Технически это реализовано в виде пометки файлов. Многие системы грифуют данные, вводя специальный тег в имя файла. Однако такой способ значительно ограничивает ра-
боту с документами и оставляет лазейки для злоумышленника.
Наиболее эффективной оказалась техника установки метки внутрь файла, скажем в виде служебного заголовка. Применяя такой подход в качестве основного, удалось резко повысить скорость и точность определения конфиденциальных документов. Когда такой документ пытается покинуть корпоративную сеть, или, например, записаться на сменный носитель, контролирующему модулю не нужно анализировать содержимое. Достаточно лишь считать гриф и применить соответствующие правила политики безопасности. Зная метку, защитный механизм может теперь безошибочно определить, является файл секретным или нет.
Очевидно, что для использования подхода грифования требуется провести полный анализ и классификацию всех электронных документов в организации и пометить все секретные файлы соответствующим образом. Главным недостатком таких методов является то, что пометить все конфиденциальные документы, как правило, очень сложно. Еще труднее постоянно поддерживать базу данных грифованных документов. Чтобы решить эту проблему, к примеру, продукт компании McAfee переносит грифы в новые файлы из старых документов при их трансформации и таким образом существенно упрощает процесс.
Оптимальным же сегодня является метод комбинации описанных выше подходов. Так McAfee, используя анализ контента при со-
Одна из сложностей, с которыми столкнулась отрасль информационной безопасности в 2009, это "преднамеренное заблуждение" относительно систем и решений, внедрение которых требует закон о персональных данных. Многие производители легко манипулируют им. Например, DLP-системой можно легко назвать антивирус, поскольку он позволяет избежать "троянов", которые отсылают информацию своим заказчикам, и программу для контроля устройств в операционной системе, поскольку она борется с утечками через мобильные устройства и накопители. Однако и антивирус, и система контроля устройств закрывают лишь один из каналов утечек.
здании документов и в процессе их грифования, в дальнейшем контролирует процесс по созданным меткам, добилась высокой скорости, точности определения и низких показателей ложного срабатывания, а также возможности гибко и легко управлять своей платформой DLP.
Однако простая интеграция подходов не может быть основанием для появления очередного поколения продуктов. Развитие отрасли показало, что концептуально новые DLP-системы должны поддерживать функционал шифрования для защиты информации на мобильных носителях и устройствах. Эксперты утверждают, что практически половина современных утечек происходит в результате кражи мобильных устройств. В этом случае единственным эффективным способом защиты является шифрование данных. В состав продукта от McAfee, специально входит как опция, средство шифрования данных "Safe Boot", которое позволяет надежно защитить данные на дисках мобильных устройств — ноутбук, КПК, смартфонов, сменных носителей.
Итак, практически идеальным средством защиты персональных и конфиденциальных данных в условиях реальной действительности может быть решение, которое комбинирует основные подходы к анализу и контролю контента, позволяет устранить утечки по классическим каналам, а также минимизировать ущерб от украденных мобильных устройств за счет шифрования дисков. В таком решении должна присутство-
вать централизованная система аудита и доказательная база всех действий с конфиденциальными документами. Кроме того, решение должно учитывать специфику организаций и быть подстроено под основные бизнес-процессы организаций.
Внедрение систем предотвращения утечек данных.
Ключевой проблемой при внедрении систем DLP, стало то, что к моменту начала внедрения системы компания заказчик уже должна иметь четкое и ясное представление о том, какие конфиденциальные данные находятся в ее распоряжении, как и где они хранятся, какие действия с ними производятся. То есть, еще до начала внедрения, в рамках проекта необходимо провести тщательный аудит; и большинство компаний-внед-ренцев предлагают этот подготовительный этап проводить заказчику своими силами, который, очевидно, просто не готов и не способен провести аудит необходимого качества.
В некоторых организациях, государственных и коммерческих, не один год может уйти на поиск ответов на эти ключевые для успешного внедрения вопросы. Более 70% организаций вообще не представляют, какие данные следует отнести к категории критичных.
В этом случае очень может помочь применение продукта DLP, который имеет функциональность при задании правильного классификатора данных по степени их кон-
фиденциальности и определении четких критериев идентификации этих данных, позволит автоматически произвести процедуру анализа всех данных и действий над ними.
Обладающий такой функциональностью продукт позволит сильно сократить и упростить процесс внедрения технологии защиты от утечек
Несмотря на все усилия, сегодня большинство компаний все же не готовы защищать имеющиеся в их распоряжении данные так хорошо, как того требует 152-й федеральный закон. Но в данной ситуации есть и позитивные стороны. Так, на нашем рынке информационной безопасности существует большое число опытных игроков, которые рассматривают формирующуюся нишу как стратегически важное направление развития своих компаний. Исходя из многолетнего опыта и проводя непрерывные консультации с ответственными за развитие этого направления государственными структурами компании-интеграторы, без сомнения, внесут свою лепту "первопроходцев" и смогут достаточно быстро заполнить недостающие пробелы.
Кроме того, 2009 г. не прошел зря: множество белых пятен и узких мест было выявлено на практике разработки и внедрения систем, многие системные противоречия были разрешены, а вендоры готовят новые продукты, более заточенные под поставленные задачи.
McAfee предупреждает о наступлении эпохи кибернетических войн
McAfee, Inc. опубликовала свой пятый ежегодный "Отчет о виртуальной преступности", согласно которому международная гонка кибервооружений стала реальностью. В ходе подготовки отчета компания обнаружила, что количество политически мотивированных кибератак выросло, а пять стран — США, Россия, Франция, Израиль и Китай — теперь обладают кибероружием. В отчете о виртуальной преступности отражены мнения более двадцати ведущих экспертов в области международных отношений, включая советника посла Великобритании в США Джеймса Сандерса, специалистов Управления национально безопасности США, Генеральной прокуратуры Австралии. За составление отчета в McAfee отвечал бывший советник президента США Пол Куртц.
В отчете впервые дано определение кибервойны, названы страны, разрабатывающие стратегии проведения атакующих и оборонительных действий в киберпространстве, рассмотрены примеры политически мотивированных кибератак и показано, что ждет частный сектор в случае кибервойны. Отдельно выделена проблема раскрытия информации о виртуальной преступности. Поскольку данные о борьбе с киберпреступностью, как правило, засекречены, государственный и частный сектор не могут разработать адекватные меры защиты.
Эксперты призывают к разработке четкого определения виртуальной войны. Без открытого обсуждения проблем киберпреступности с участием государственного и частного сектора, а также общественности, в будущем кибератаки против ключевых объектов жизнеобеспечения могут привести к огромным жертвам и разрушениям.
В отчете приводится мнение Вильяма Кроуэла, бывшего заместителя директора Управления национальной безопасности США. "В течение следующих 20-30 лет кибератаки станут неотъемлемой частью военной стратегии. Остается только неясным, будут ли компьютерные сети настолько вездесущими и незащищенными, что военные действия полностью переместятся в виртуальное пространство", — заявил он.
Ознакомиться с отчетом McAfee о виртуальной преступности 2009 можно по адресу http://www.mcafee.com.
Дополнительную информацию о результатах исследования и мнениях экспертов, можно прочитать в блоге McAfee Security Insights http:// siblog.mcafee.com.
