Содержание:

Введение

В настоящее время об утечке информации не говорит только ленивый. Речь, конечно же, идет о краже конфиденциальной информации, т.е. информации, которую злоумышленники могут использовать во вред владельцу информации или для получения собственной выгоды. Это может быть личная информация (переписка, фото-, видеоматериалы, паспортные данные и многое другое), коммерческая тайна, государственная тайна, сведения ограниченного доступа и прочее. От утечки информации могут пострадать как частные лица, так и организации, а иногда и целые страны (тут стоит вспомнить самый громкий скандал последних лет, связанный с экссотрудником секретных служб США Э. Сноуденом). И, если простые люди очень редко задумываются над защитой своих данных (максимум следуют нескольким общим рекомендациям), то чем крупнее структура (или чем более «опасной» информацией эта структура обладает), тем больше средств тратится на защиту конфиденциальных данных.

Электронный мир развивается очень стремительно. Организации, стремясь поспевать за прогрессом (мобильностью, удобством, доступностью) сами открывают лазейки для злоумышленников.

Если информация не покидает пределов мест хранения (Data-at-Rest), используются следующие методы:

• ограничение прав доступа субъектов к различным информационным ресурсам (ролевое управление, дискреционный и мандатный допуск к ресурсам);
• использование специального программного обеспечения (ПО) контроля внешних устройств (USB, CD-ROM и пр.) – на уровне можно/нельзя использовать этот носитель;
• шифрование данных;

Все меняется. В настоящее время необходимо контролировать данные в процессе обработки и передачи (Data-at-Motion) по разным каналам: SMTP, HTTP, печать на локальные или сетевые принтера, передача на сменных носителях (Hot change) и прочее. Кроме контроля, необходимо анализировать передаваемую информацию, чтобы запретить передачу только конфиденциальную информацию, не вмешиваясь в остальные процессы работы.

Что именно отнести к конфиденциальным данным, каждая компания определяет сама. Для кого-то это будет информация о новом продукте, поставщиках или технологии, для других - клиентская база. Но всегда утечка конфиденциальных данных является угрозой для бизнеса, и игнорирование проблемы может привести к катастрофическим последствиям.

Причинами утечек информации могут быть: неосторожность или компьютерная безграмотность сотрудников, намеренная кража информации как собственными сотрудниками (инсайдерами), так и злоумышленниками, которые используют различные методы проникновения в корпоративную сеть (троянские или шпионские программы, перехватчики информации и т.п.).

утечка конфиденциальная информация программный

1 глава DLP

Системы предотвращения утечек конфиденциальной информации

Существует множество способов борьбы с утечками конфиденциальных данных, как на уровне организационных процедур, так и на уровне программных решений. Одним из наиболее эффективных методов является внедрение системы защиты от утечек конфиденциальных данных Data Leak Prevention (DLP) - технологии предотвращения утечек конфиденциальной информации из информационной системы вовне, а также технические устройства (программные или программно-аппаратные) для такого предотвращения утечек системы строятся на анализе потоков данных, пересекающих периметр защищаемой информационной системы. При детектировании в этом потоке конфиденциальной информации срабатывает активная компонента системы, и передача сообщения (пакета, потока, сессии) блокируется.

В течение последних нескольких лет использовалась разная терминология: Information Leakage Protection (ILP), Information Leak Protection (ILP), Information Leakage Detection & Prevention (ILDP), Content Monitoring and Filtering (CMF), Extrusion Prevention System (EPS) и др. Но наиболее точным термином принято считать Data Leak Prevention (DLP, предложен агентством Forrester в 2005 г.). В качестве русского аналога принято словосочетание «системы защиты конфиденциальных данных от внутренних угроз».

При этом, под внутренними угрозами подразумевают как умышленные злоупотребления, так и непреднамеренные действия сотрудников в рамках своих прав доступа к данным.

Этапы развития DLP-систем

Если ранее более опасными считались угрозы внешние, то сейчас статистика кардинально изменилась:

82% - угрозы от собственных сотрудников компании, при их прямом или опосредованном участии;

17% - внешние угрозы;

1% - угроза от случайных лиц.

Поэтому закономерно возросла и популярность DLP-систем. Необходимость их использования стала упоминаться в стандартах и нормативных документах (например, раздел "12.5.4 Утечка информации" в стандарте ГОСТ ISO/IEC 17799-2005). Специализированные технические средства для защиты от внутренних угроз стали массово выпускаться только после 2000 года.

Началось все с появления технологии сетевого мониторинга - без возможности блокировки утечки через сетевые протоколы (SMTP, HTTP …). Позже появились функции блокировки данных при передаче через сеть. Затем стало возможным контролировать рабочие станции за счет установки программных "агентов", что позволяет недопустить передачу конфиденциальной информации с этих устройств: контроль функций "copy/paste", снятия скриншотов, а также контроль передачи информации на уровне приложений: например, в одной программе "copy/paste" запрещен, в другом - разрешен.

И, наконец, появились технологии поиска конфиденциальной информации на сетевых ресурсах и ее защиты, если информация обнаружена в тех местах, где ее не должно быть. Конфиденциальная информация при этом задается предварительно ключевыми словами, словарями, регулярными выражениями, "цифровыми отпечатками". В результате поиска система может показать - где она обнаружила конфиденциальную информацию, и какие политики безопасности при этом нарушаются. Далее сотрудник службы безопасности принимает меры. Есть решения, которые кроме того, что показывают наличие конфиденциальных данных в неположенном месте, а переносят эту информацию "в карантин", оставляя там, где была найдена информации, запись - куда перенесена конфиденциальная информация и к кому обратиться за предоставлением доступа к этой информации.

Анализ передаваемой информации

В настоящее время производители предлагают довольно много DLP-решений, позволяющих определять и предотвращать утечку конфиденциальной информации по тем или иным каналам. Но комплексных решений, покрывающих все существующие каналы, намного меньше. В этих условиях чрезвычайно важным становится выбор технологии, обеспечивающей защиту от утечек конфиденциальной информации с максимальной эффективностью и минимальным количеством ложных срабатываний.

При выборе DLP-решения, первое, чему следует уделить внимание - это как именно данное решение анализирует передаваемую информацию и какие технологии используются для определения наличия конфиденциальных сведений.

Всего существует пять методов анализа:

 Поиск по словарям (по точному совпадению слов, в некоторых случаях с учетом морфологии)

 Регулярные выражения. Регулярные выражения - система синтаксического разбора текстовых фрагментов по формализованному шаблону, основанная на системе записи образцов для поиска. Например, номера кредитных карт, телефонов, адреса e-mail, номера паспорта, лицензионные ключи…

 Сравнение по типам файлов. Политика безопасности может запретить отправку вовне некоторых типов файлов. При этом, если пользователь изменит расширение файла, то система все равно должна "опознать" тип файла и выполнить необходимые действия. Чаще всего используется технология компании Autonomy.

 Статистический ("поведенческий") анализ информации по пользователям. Если пользователь, имеющий доступ к конфиденциальным данным, посещает определенные сайты (web-storage, web-mail, хакерские и т.д.), то он попадает в "группу риска" и к нему чаще всего применение дополнительные политики безопасности.

 Технологии цифровых отпечатков. Наиболее перспективные и достаточно сложные технологии, при которых производятся определенные математические преобразования исходного файла (алгоритмы преобразований производителями не раскрываются). Процесс преобразования строится следующим образом: исходный файл - математическая модель файла - цифровой отпечаток. Такой процесс позволяет существенно сократить объем обрабатываемой информации (объем цифрового отпечатка не более 0,01 от объема файла). Цифровые отпечатки затем размещаются в базе данных (Oracle, MS SQL) и могут быть продублированы в оперативной памяти устройства, осуществляющего анализ информации. Отпечатки затем используются для сравнения и анализа передаваемой информации. При этом отпечатки передаваемого и "модельного" файлов могут совпадать не обязательно на 100%, процент совпадения может задаваться (или программироваться в ПО производителем). Технологии устойчивы к редактированию файлов и применимы для защиты практически любых типов файлов: текстовых, графических, аудио, видео. Количество "ложных срабатываний" не превышает единиц процентов (все другие технологии дают 20-30% ложных срабатываний). Эта технология устойчива к различным текстовым кодировкам и языкам, используемым в тексте.

Также следует обратить внимание на систему отчетности и наборы преднастроенных политик безопасности, представляемых DLP-решением, так как это поможет избежать некоторых проблем и сложностей при внедрении.

Процесс внедрения DLP-системы

Основная проблема внедрения - это, чаще всего, отсутствие классификации данных. Из-за этого, первоначальным этапом внедрения такой системы DLP должна проработать в организации в режиме мониторинга до полугода. В этом режиме на базе преднастроенных, в соответствии с типом предприятия (медицинские, промышленные или образовательные учреждения), политик безопасности ИС может выявить места хранения и способы обработки и передачи конфиденциальных данных.

Для финансовых организаций, именно они в настоящее время являются основными потребителями DLP-систем, проблема с классификацией данных неактуально, так как существуют достаточно качественные преднастроенные политики безопасности, предоставляемые производителями DLP-систем.

Когда организация принимает решение об окончании этапа мониторинга, систему переводят в режим (возможен комбинированный режим):

• уведомления пользователей и сотрудника безопасности
• в режим блокирования передачи конфиденциальной информации.

Во время работы системы DLP в режиме мониторинга, количество ложных срабатываний, в силу отсутствия адаптации политик, может быть тысячи. Далее политики безопасности калибруется под конкретные нужды и возможности фирмы так, чтобы уже в режиме уведомления и/или блокировки, количество ложных срабатываний было в пределах нормы (они рассчитываются под каждый отдельный случай) и система реагировала лишь на конфиденциальные данные.

Так полный цикл внедрения DLP-системы может занять год, в случае с крупной организации.

Компоненты системы

Рассмотрим состав DLP решения на примере программного продукта Symantec Data Loss Prevention (SDLP). Данная система позволяет обеспечить защиту для широкого спектра типов конфиденциальной информации, которая находится в сети и системах хранения данных, а также на ПК сотрудников независимо от того, где они работают: в корпоративной сети или вне ее.

Рисунок 1 - Компоненты системы SDLP

Основным компонентом данной линейки является платформа управления Symantec Data Loss Prevention Enforce Platform, которая способна определять и распространять на другие компоненты решения политики по предотвращению потери конфиденциальной информации. У данного компонента есть единый веб-интерфейс для управления и работы с решениями линейки SDLP.

Symantec Data Loss Prevention Network Discover

Компонент Symantec Data Loss Prevention Network Discover позволяет обнаружить незащищенные конфиденциальную информацию, при сканировании различных информационных ресурсов (как файловые хранилища, базы данных, почтовые серверы, веб-серверы и т.п.).

Symantec Data Loss Prevention Data Insight

Компонент Symantec Data Loss Prevention Data Insight может отслеживать доступ к конфиденциальным данным для автоматического определения владельцев этих данных, что позволяет повысить гибкость процессов обнаружения конфиденциальных данных и управлять ими.

Symantec Data Loss Prevention Network Protect

Компонент Symantec Data Loss Prevention Network Protect является дополнением, который расширяет функционал компонента Symantec Data Loss Prevention Network Discover в части уменьшения опасности потери незащищенных конфиденциальной информации путем перемещения таких данных с общих хранилищ сети в карантин или защищенные хранилища.

Компоненты SDLP Network Discover и SDLP Network Protect помогают защитить конфиденциальные данные от утери с таких информационных ресурсов как:

• сетевые файловые системы (CIFS, NFS, DFS и др.);
• локальные файловые системы на ПК и ноутбуках;
• локальные файловые системы (Windows, Linux, AIX, Solaris);
• БД Lotus Notes;
• Microsoft Exchange;
• Microsoft SharePoint;
• Documentum и др.

Symantec Data Loss Prevention Endpoint Discover и Symantec Data Loss Prevention Endpoint Prevent

Эти компоненты представлены двумя модулями:

SDLP Agent (устанавливается на ПК пользователей) обеспечивает выполнение функций:

• поиск незащищенной конфиденциальной информации на пользовательских рабочих станциях;
• запрет на передачу конфиденциальной данных (через съемные носители, CD/DVD, печать, средства обмена сообщениями и т.п.).

Сервер SDLP Endpoint Server, который обеспечивает связь агентов SLDP Agent с платформой управления SDLP Enforce Platform, позволяет определять политики мониторинга конфиденциальной информации и блокировку передачи этих данных с пользовательских рабочих станций.

Агент SDLP Agent помогает предотвратить утечки конфиденциальной информации с пользовательских рабочих станций и корпоративных ноутбуков при попытке их передачи посредством:

• сети (HTTP/HTTPS, Email/SMTP, FTP, IM);
• внешних накопителей информации (USB, SD, FireWire);
• средств печати/факса;
• копирования конфиденциальной информации в буфер обмена.
• записи на CD/DVD/FDD;

Symantec Data Loss Prevention Network Monitor

Компонент Symantec Data Loss Prevention Network Monitor в режиме реального времени контролирует сетевой трафик на наличие конфиденциальных данных и создает уведомления при попытке передачи этих данных за пределы корпоративной сети.

Symantec Data Loss Prevention Network Prevent

Компонент Symantec Data Loss Prevention Network Prevent предотвращают передачу конфиденциальных данных средствами почтовых и веб-коммуникаций.

Компоненты SDLP Network Monitor и SDLP Network Prevent обеспечивают защиту от утечек конфиденциальных данных при попытке их передачи следующими способами:

• электронная почта (SMTP);
• торренты (Peer-to-peer);
• веб-почта, форумы, соц. сети и т.д. (HTTP, HTTPS);
• протокол передачи файлов (FTP);
• Telnet;
• средства обмена мгновенными сообщениями (IM);
• любые другие сессии через любой порт TCP.

2 глава Программные решения, представленные на рынке

DeviceLock 8.1

DeviceLock 8.1 — это средство защиты информации от утечек (DLP), осуществляющее контроль и протоколирование доступа пользователей к устройствам, портам ввода-вывода и сетевым протоколам. DeviceLock позволяет контролировать весь спектр потенциально опасных устройств и сетевых коммуникаций: USB-порты, дисководы, CD/DVD-приводы, FireWire, инфракрасные, параллельные и последовательные порты, WiFi и Bluetooth-адаптеры, ленточные накопители, КПК, внутренние и внешние сменные накопители и жесткие диски, буфер обмена Windows, простые и SSL-защищенные SMTP-сессии электронной почты, HTTP и HTTPS-сессии, веб-почту и социальные сети, службы мгновенных сообщений, файловый обмен по протоколам FTP и FTP-SSL, Telnet-сессии. DeviceLock осуществляет детальный аудит и теневое копирование действий пользователей с устройствами, протоколами и данными.

Использование неавторизованных USB-устройств представляет угрозу корпоративным сетям и данным. Причем не только конфиденциальная информация может "уйти" из корпоративной сети через USB-порт, но и вирусы или троянские программы могут попасть в корпоративную сеть, минуя серверные сетевые экраны и антивирусы. Точно так же дело обстоит с CD/DVD/FDD-приводами.

Обеспечивая контроль над пользователями, имеющими доступ к портам и устройствам локального компьютера, DeviceLock 8.1 закрывает потенциальную уязвимость в защите простым и экономичным способом. DeviceLock 8.1 полностью интегрируется в подсистему безопасности Windows, функционируя на уровне ядра системы, и обеспечивает прозрачную для пользователя защиту.

Рисунок 2 - Принцип работы DeviceLock 8.1.

Программный комплекс DeviceLock 8.1 обеспечивает выполнение некоторых требований руководящих и нормативных документов по защите конфиденциальных и персональных данных. DeviceLock 8.1 успешно применяется как сертифицированное средство защиты информации от НСД при построении АИС (автоматизированных информационных систем) для работы с конфиденциальными данными, а так же в ИС любых классов для работы с персональными данными. DeviceLock 8.1 имеет действующий сертификат ФСТЭК России Сертификат №2144, сертифицирован на соответствие Заданию по Безопасности, соответствует требованиям руководящего документа "Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей" (Гостехкомиссия России, 1999) - по 4 уровню контроля и имеет оценочный уровень доверия ОУД 2 в соответствии с руководящим документом "Безопасность информационных технологий. Критерии оценки безопасности информационных технологий" (Гостехкомиссия России, 2002).

SecureTower

SecureTower – программное решение, разработанное российской компанией Falcongaze, созданное специально для защиты корпоративной информации от утечек, а также для контроля активности сотрудников на рабочих местах.

Комплексное программное решение для защиты от утечки персональных данных и любых конфиденциальных данных, циркулирующих в сети предприятия, содержащихся в базах данных и документах, обеспечивает контроль над всеми потоками информации, которая передается по сети, перехватывая и сохраняя в базу данных трафик. Служба безопасности незамедлительно получает автоматические оповещение обо всех случаях несанкционированной передачи конфиденциальной информации, даже если они отправляются при использовании шифрованных каналов, или SSL-протоколов. Формирует подробную статистику о сетевой активности сотрудников (фотография рабочего дня), из которых можно узнать кто и как использует корпоративные ресурсы, позволяя оценить эффективность работы сотрудников.

Типы контролируемых данных

• электронные письма почтовых клиентов, использующих протоколы POP3, SMTP, IMAP (например, MS Outlook, Thunderbird, The Bat!), электронные сообщения MS Exchange Server и других почтовых серверов (на базе Kerio Connect, Postfix и др.)
• веб-трафик, включая электронные письма внешних почтовых служб (gmail.com, mail.ru, yandex.ru и т.д.), сообщения в форумах, посещенные страницы в социальных сетях и других веб-службах
• почтовые сообщения, отправляемые и получаемые при помощи облачного сервиса Microsoft Office 365
• сообщения в мессенджерах, использующих протоколы обмена мгновенными сообщениями OSCAR (таких как ICQ/AIM), MMP (таких как Mail.Ru Агент), MSN (таких как Windows Messenger), XMPP (Jabber) (таких как Miranda, Google Talk, QIP Infium, PSI), YIM (Yahoo! Messenger), SIP, а также текстовые и голосовые сообщения в Skype, Viber, Lync, Telegram[8]
• файлы, передаваемые по протоколам FTP, FTPS, HTTP и HTTPS, а также в программах-мессенджерах (ICQ, Windows Messenger, и т.д.) или по электронной почте в качестве вложений
• HTTP- и HTTPS-трафик по протоколу ICAP с корпоративного прокси-сервера
• SSL-трафик, передаваемый по шифрованным протоколам (включая HTTPS, FTPS, защищённые протоколы SSL для POP3, SMTP и мессенджеров)
• содержимое баз данных MS SQL Server, Oracle, PostgreSQL, SQLite, MySQL
• данные, передаваемые на внешние устройства (USB-устройства, съемные жесткие диски, карты памяти, WiFi-и GPRS-модемы)
• регистрация нажатий клавиатуры (keylogger)
• информация, отправляемая на сетевые диски пользовательских компьютеров и терминальных серверов
• данные, отправляемые на печать на локальные и сетевые принтеры
• сервисы облачного хранения данных (Dropbox, OneDrive, Яндекс.Диск)
• IP-телефония (текстовые и голосовые сообщения, передаваемые по протоколу SIP)
• сканирование дисков рабочих станций на предмет наличия конфиденциальной информации
• текстовая и числовая информация, копируемая в буфер обмена
• запись с микрофонов и WEB-камер, как встроенных, так и подключенных к рабочим станциям
• распознавание конфиденциальной текстовой и числовой информации на изображениях

Основные возможности

• SecureTower контролирует популярные каналы корпоративной коммуникации, и позволяет в ретроспективе отслеживать инциденты, связанные с нарушением политик информационной безопасности компании.
• Предусмотрена возможность создания гибких правил безопасности, соответствующих потребностям организации.
• Вся перехваченная информация подвергается анализу по содержанию, по атрибутам, и посредством статистических данных.
• Имеется функционал, позволяющий осуществлять контроль информации непосредственно из баз данных без дополнительных операций по выгрузке информации из БД.
• Систему можно использовать в любой корпоративной сети вне зависимости от её размеров и топологии.
• Система может быть использована в территориально-распределенных офисах компаний, имеющих удаленные филиалы и представительства.
• Система контролирует ноутбуки и нетбуки, покидающие пределы компании. Вся передаваемая информация с мобильной рабочей станции перехватывается и фиксируется в полном объеме и передается службе безопасности компании при подключении переносного устройства к корпоративной сети.
• В системе содержатся инструменты, позволяющие анализировать деятельность сотрудников на рабочих местах.
• Система позволяет не только расследовать инциденты информационной безопасности, но и предотвращать их. В случае обнаружения инцидента система автоматического оповещения блокирует информацию, вызывающую подозрение, и отсылает уведомления уполномоченным сотрудникам для дальнейшего расследования случившегося.

Уникальной возможностью SecureTower является функционал, который обеспечивает надежную защиту от возможных утечек информации непосредственно из баз данных. Это позволяет по методу цифровых отпечатков без промежуточных операций контролировать содержимое хранилищ структурированной информации, которые обычно содержат конфиденциальные персональные данные, ценные контактные данные, абонентские базы и другую коммерческую информацию.

Программа поддерживает MS SQL Server, Oracle, PostgreSQL, SQLite и легко может быть адаптирован для работы со многими другими СУБД.

Метод анализа данных по цифровым отпечаткам вместе с использованием традиционных лингвистических, атрибутивных и статистических методов, не только повышает эффективность контроля над утечками конфиденциальной информации, но и позволяет контролировать сохранность личных данных, в соответствии с Федеральным Законом "О персональных данных".

Оценка лояльности сотрудников. Формирует подробные и наглядные статистические отчеты о сетевой активности сотрудников, позволяя оценить лояльность и эффективность работы персонала, а также узнать, насколько целевым является использование сотрудниками корпоративных ресурсов компании, минимизирует трудозатраты по расследованию инцидентов утечки информации и повышает эффективность работы службы информационной безопасности за счет снижения процента ложных срабатываний. Это достигается благодаря гибким настройкам инструмента для создания как простых, так и многокомпонентных правил безопасности.

Формирование архива бизнес-коммуникаций компании. Весь перехваченный трафик анализируется и сохраняется в базе данных. Программа создаёт своеобразный архив для ведения "истории" внутрикорпоративных бизнес-процессов и событий. Это позволяет расследовать любой случай утечки конфиденциальной информации в ретроспективе. Обратившись к определенному сообщению, можно просмотреть всю историю общения абонентов.

Zgate

Система Zgate обеспечивает контроль и архивирование электронной почты всего предприятия, позволяя уменьшить риск утечки конфиденциальных данных и облегчая расследование инцидентов.

В настоящее время защита от утечки конфиденциальных данных необходима любой компании - от небольшой организации до крупной корпорации. В руководстве компаний понимают, что утеря или получение конфиденциальной информации третьими лицами может привести не только к прямым финансовым потерям, но и к уменьшению доверия со стороны партнёров, инвесторов и клиентов. Любая утечка данных, даже отправка почты с конфиденциальными данными по ошибочному адресу, приводит к повышенному интересу со стороны контролирующих органов и СМИ. Это повышает риски финансовой ответственности за нарушение отраслевых стандартов и законодательства в области защиты персональных данных и другой конфиденциальной информации.

Система Zgate компании SECURIT разрабатывалась с учетом исследования преимуществ и недостатков существующих DLP-решений. Zgate может заблокировать утечки конфиденциальной информации по сетевым каналам. Для обнаружения и блокировки утечек информации в Zgate используется гибридный анализ, который включает в себя множество современных разработок отслеживания конфиденциальных данных. Применение гибридного анализа, позволило увеличить эффективность отслеживания информации со среднестатистических 60-70% для существующих DLP до 95% у Zgate. Он анализирует все данные, которые передают сотрудники за пределы ЛВС организации, и позволяет предотвращать утечки конфиденциальных данных по сетевым каналам - через электронную почту, соц. сети, интернет-мессенджеры и т.д. В Zgate используются новейшие разработки, которые безошибочно позволяют определить уровень конфиденциальности передаваемых данных и категорию документов с учетом особенностей организации, требований отраслевых стандартов и законодательства России, СНГ, Европы и США. ZGate позволяет контролировать и архивировать:

• Переписку в корпоративной электронной почте.
• Общение в социальных сетях, на форумах и блогах.
• Сообщения интернет-пейджеров.
• Письма и вложения, отсылаемые через сервисы веб-почты.
• Файлы, передаваемые по FTP.

На случай проведения внутренних расследований и профилактики утечек Zgate сохраняет подробную информацию обо всех происходящих инцидентах - передаваемые данные, информацию об отправителе, получателе, канале передачи и т.д. Встроенная система отчетности содержит полный набор инструментов для анализа сохраненных данных и помогает повысить эффективность процесса принятия решений по происходящим инцидентам. Кроме нескольких десяткоы готовых отчетов в Zgate встроен специальный конструктор, который позволяет создавать, сохранять, редактироваить и публиковать неограниченное количество собственных отчетов.

Решаемые задачи

 Категоризация всей пересылаемой информации. Zgate анализирует сетевой трафик и классифицирует пересылаемые данные по различным категориям.

 Обнаружение и блокировка утечек конфиденциальной информации в режиме реальном времени. Большинство DLP-систем работают в "пассивном" режиме, то есть лишь оповещают о факте утечки. В отличие от них, Zgate действительно предотвращает утечки в режиме реального времени.

 Предупреждение утечек информации. Большую часть утечек информации можно предотвратить на ранней стадии, если своевременно обнаружить подозрительную активность и поменять настройки политики безопасности. Zgate способен на ранней стадии обнаруживать подозрительную активность, что позволяет дополнительно уменьшить риск утечки конфиденциальной информации.

 Архивирование всей пересылаемой информации. Zgate архивирует корпоративную электронную почту, сообщения, письма и файлы, которые передают через интернет-пейджеры, социальные сети, веб-почту, блоги , форумы и т.д. Архивируемые данные записываются в СУБД Oracle Database или Microsoft SQL Server.

 Приведение политик безопасности в полное соответствие с требованиями отраслевых стандартов и законодательства. В частности, использование системы защиты от утечек данных регламентируется стандартами Банка России, Кодексом корпоративного поведения ФСФР, PCI DSS, SOX, Basel II и множеством других документов.

Преимущества Zgate

• Для обнаружения и своевременной блокировки утечек данных в Zgate применяется гибридный анализ, который используюет более 10 специализированных технологий.
• Zgate контролирует сообщения и файлы, которые отправляют через более чем 15 видов интернет-пейджеров и более чем 250 различных веб-сервисов - от электронной почты Mail.ru до видеохостинга YouTube.
• Zgate может интегрироваться с Microsoft Forefront TMG (Microsoft ISA Server) и любым прокси-сервером, который поддерживает протокол ICAP (Internet Content Adaptation Protocol) - Blue Coat, Cisco ACNS, Squid и т.д.
• Система Zgate совместима с любой почтовой системой (MTA) и контролирует письма и вложения, отправляемые через Microsoft Exchange Server, IBM Lotus Domino, CommuniGate Pro и т.д.
• Zgate поддерживает анализ более 500 форматов файлов, в том числе Microsoft Office, OpenOffice.org, сканы и фотографии, а также обработку архивов заданного уровня вложенности.
• Все пересылаемые письма, сообщения и файлы помещаются в специальный архив, который не имеет ограничений по объему и сроку хранения данных.
• В установку Zgate включено более 50 шаблоновкоторые позволяют определять конфиденциальность данных. Это существенно сокращает трудозатраты при внедрении.
• Для настройки защиты информации в Zgate используются специальные политики безопасности, имеющие до 30 различных параметров.
• Управление Zgate осуществляется через единую систему управления DLP-решениями Zconsole, которая также поддерживает управление Zlock и Zserver Suite.

Технологии обнаружения конфиденциальной информации

• DocuPrints. Технология DocuPrints работает по принципу "цифровых отпечатков" и основана на сравнении анализируемых документов с ранее созданной базой цифровых отпечатков конфиденциальных документов. В результате сравнения определяется вероятность того, что в документе присутствует конфиденциальные данные.

Для начала использования технологии DocuPrints необходимо указать расположение конфиденциальных документов, и Zgate самостоятельно создаст базу отпечатков и будет автоматически поддерживать ее в актуальном виде.

• MorphoLogic. Технология MorphoLogic с использованием морфологического анализа проверяет пересылаемые данные на предмет нахождения в них конфиденциальной информации.

Технология MorphoLogic реализована аналогично методам, используемым в поисковых системах, и позволяет анализировать текст с учетом различных грамматических словоформ.

• SmartID. Интеллектуальная технология SmartID - это разработка компании SECURIT, которая уже после первоначального "обучения" может начать самостоятельно опознавать отправку конфиденциальной информации.

В процессе работы работы SmartID накапливает "опыт" анализа и категоризации данных и с постоянно повышает точность категоризации.

Точность работы SmartID уже после первой недели работы чаще всего составляет более 95 %.

Zlock

Система Zlock позволяет гибко настроить права доступа к портам и устройствам и сократить риск утечки информации через несанкционированное использование внешних устройств, прежде всего, USB-накопителей.

По статистическим оценкам, от 60 до 80 % атак, которые направлены на получение информации ограниченного доступа, начинается из корпоративной ЛВС предприятия (интрасети).

Особенную актуальность проблема внутренних угроз получила после повсеместного распространения переносных накопителей информации, подключаемых через USB-порты: flash-накопители, винчестеры с USB-интерфейсом и т.д.

Для предотвращения утечек корпоративных документов через переносные устройства, прежде всего USB и flash-накопители, может использоваться разработка компании SECURIT - DLP-система Zlock. Zlock дает возможность блокировать утечки конфиденциальной информации через периферийные устройства с помощью гибкой настройки политик доступа, анализа передаваемых файлов и предотвращения несанкционированного копирования документов.

Для каждого типа устройств Zlock предполагает возможность настройки прав доступа на основе списков контроля доступа (ACL). Для каждого физического или логического устройства и для каждого пользователя или группы пользователей из Active Directory можно настроить доступ. Инструмент контентного анализа помогает настраивать контроль копирования файлов на переносные накопители и чтения с них по типам файлов и содержимому передаваемых документов.

Подключаемые устройства могут определяться по разным признакам, таким как класс устройства, код устройства, код производителя, серийный номер и т.д. Это позволяет дать разные права доступа к устройствам одного класса, например, запретить использование USB-накопителей, но при этом позволить использование USB-ключей для аутентификации пользователей.

Система Zlock компании SECURIT программное обеспечение для защиты от утечек конфиденциальной информации путём разграничения прав доступа пользователей к внешним и внутренним устройствам компьютера и к локальным и сетевым принтерам. Zecurion Zlock относится к семейству IPC/DLP-систем и позволяет архивировать распечатываемые на принтерах документы и файлы, записываемые на USB-, CD-, DVD-носители и другие устройства.

Политики доступа

Разграничение доступа к внешним устройствам в Zlock осуществляется на основе политик доступа. Политика доступа - это логическое понятие, которое связывает описание устройств и уровень прав доступа к ним.

Права доступа могут иметь быть:

• полный доступ;
• только для чтение;
• запрет доступа.

Права доступа могут применяться для всех или иметь индивидуальные настройки для пользователей, групп пользователей на основе ACL (аналогично разграничению прав доступа к папкам или файлам в ОС Windows).

Политики доступа можно настроивать по типам файлов для ограничения операций с документами определенного формата (для USB-устройств). Zlock поддерживает более 500 наиболее распространённых в корпоративной среде форматов файлов.

При настройке политик по содержимому передаваемых документов существует возможность открыть полный доступ к устройствам, ограничив запись, чтение или печать файлов, содержащих конфиденциальную информацию (для USB-устройств и принтеров).

Политики могут быть ограничены по времени (графику) или быть одноразовыми. Это позволяет, например, давать разные права доступа в рабочее и нерабочее время либо разрешить однократный доступ к устройству (доступ прекратится, как только пользователь извлечет устройство).

В системе Zlock существует особый вид политики - это "политика по умолчанию". Она описывает доступ к устройствам, которые по каким-либо причинам не попадают под действия других политик. Например, можно с помощью такой политики по умолчанию установить запрет на использование всех USB-устройства, а обычной политикой - разрешить доступ для определенных устройств.

Дополнительно в Zlock есть возможность создавать специальные политики доступа, которые применяются в зависимости от того как именно подключен компьютер в сеть: подключен ли компьютер к сети непосредственно, подключен через VPN или работает автономно. Это расширяет возможности по управлению доступом к устройствам и позволяет, например, автоматически заблокировать доступ ко всем внешним устройствами на ноутбуке, как только он вышел из корпоративной сети.

При этом в Zlock у каждой политики существует приоритет, который позволяет определить, какие права доступа будут применяться, если одно устройство описывается сразу в нескольких политиках и имеет там разные права доступа.

Поддерживаемые устройства

Система Zlock позволяет разграничивать доступ к следующим видам устройств:

• любые USB-устройства - flash-накопители, цифровые камеры и аудиоплееры, карманные компьютеры и т.д.;
• локальные и сетевые принтеры;
• внутренние устройства - контроллеры Wi-Fi, Bluetooth, IrDA, сетевые карты и модемы, FDD-, CD - и DVD-дисководы, жесткие диски;
• порты LPT, COM и IEEE 1394;
• любые устройства, имеющие символическое имя.

В Zlock возможно получить перечень устройств, в котором хранится вся информация об устройствах сети и даст возможность создавать политики на основе этих данных.

Контентный анализ

При копировании документов на USB-устройства, чтении с них и печати на принтерах Zlock анализирует содержимое файлов, находит в них конфиденциальную информацию и блокирует действия пользователя при выявления нарушений политик безопасности.

Для обнаружения конфиденциальных данных в файлах применяется гибридный анализ - комплекс технологий детектирования данных разного типа:

• Технология MorphoLogic с использованием морфологического анализа - позволяет исследовать текст динамических и вновь созданных документов с учетом различных грамматических словоформ.
• Шаблоны регулярных выражений - особенно эффективны при поиске конфиденциальной информации, имеющей фиксированную структуру, в частности, персональных данных.
• Поиск по словарям - позволяет обнаруживать данные, относящиеся к определенным категориям, существенным для организаций разного рода деятельности.
• Анализ замаскированного текста и транслита.

Удаленное управление

Удаленное управление системой Zlock может быть реализовано через единую консоль для решений SecurIT. C ее помощью администратор может устанавливать клиентские части, создавать и распространять политики Zlock, производить мониторинг рабочих станций, просматривать информацию по теневому копированию.

Возможна установка клиента на рабочие места пользователей без перезагрузки компьютеров, что ускоряет внедрение и делает его незаметным для пользователей.

В системе Zlock существует возможность разграничения доступа к функциям управления для администраторов. Это позволяет, в частности, разделить функции администратора безопасности, который осуществляет весь комплекс действий по управлению системой, и аудитора, который имеет доступ только на просмотр собранной системой истории и данных теневого копирования.

В Zlock для обычных пользователей существует возможность отправить администратору запрос на доступ к определенному устройству. На основе этого запроса администратор безопасности может создать политику, разрешающую доступ к устройству. Это обеспечивает оперативное реагирование на запросы пользователей и простоту адаптации политики безопасности к нуждам бизнес-процессов.

Взаимодействие с Active Directory

Zlock тесно интегрирован с Active Directory. Это позволяет загрузку доменной структуры и списка компьютеров корпоративной сети в Zlock, что увеличивает удобство использования системы и повышает возможности по масштабируемости.

Развертывание и управление Zlock можно осуществлять не только из консоли управления Zlock, но и с помощью групповых политик (group policy) Active Directory.

Через групповые политики можно выполнять установку, удаление и обновление Zlock, а также распространение политик доступа и настроек системы.

Такая возможность позволяет сделать внедрение и использование системы в крупных корпоративных сетях более простым и менее затратным по времени. Кроме этого появляются возможности по администрированию Zlock в компаниях с разделенными службами информационных технологий и информационной безопасности - сотруднику службы безопасности нет необходимости иметь привилегии локального администратора на компьютерах пользователей, так как внедрение и управление системой осуществляется средствами домена.

Мониторинг

В Zlock существует возможность мониторинга клиентских рабочих станций. Эта функция включает периодический опрос клиентских модулей Zlock и выдачу оповещений в случае попытки несанкционированного отключения Zlock на рабочей станции, изменения настроек или политик доступа.

Реакция на эти события может настраиваться при помощи подключаемых сценариев (скриптов) на языках VBscript или Jscript. С использованием таких сценариев можно выполнять любые действия - посылать оповещения по электронной почте или даже на мобильный телефон, запускать или останавливать приложения, и т.д.

Сбор событий и их анализ

Система Zlock реализует расширенный функционал по ведению и анализу журнала событий. В нем хранятся все существенные события, в том числе:

 подключение и отключение устройств;

 изменение политик доступа;

 операции с файлами (чтение, редактирование, запись, удаление и переименование файлов) на контролируемых устройствах.

В состав Zlock входит средство для анализа журналов, которое обеспечивает формирование запросов любых видов и вывод результатов в формате HTML. Кроме этого, использование для журнала универсальных форматов хранения данных позволяет воспользоваться любыми сторонними средствами анализа и построения отчетов.

Предоставление доступа к устройствам по телефону

В Zlock реализована возможность разрешить пользователям доступ к устройствам, используя лишь телефонную связь с администратором Zlock. Это необходимо в тех случаях, когда пользователю нужно необходимо получить доступ к определенному устройству или группе устройств, а он находится не в корпоративной сети. В этом случае сотрудник компании и администратор просто обмениваются секретными кодами, в результате чего создаются и применяются новые политики доступа. При этом администратор Zlock может создать постоянную или временную политику, которая перестанет действовать после отключения устройства, завершения сеанса Windows или по истечении заданного периода времени. Это позволит более гибко и точно реагировать на запросы пользователей в безотлагательных ситуациях и соблюдать разумный баланс между безопасностью и бизнесом.

Архив (теневое копирование)

В Zlock существует возможность автоматически выполнять архивирование (теневое копирование, - shadow copy) файлов, которые пользователи записывают на внешние накопители. Это позволяет контролировать ситуацию даже в том случае, если пользователю разрешена запись на внешние устройства, так как администратор безопасности всегда будет точно знать, какую информацию сотрудник сохраняет на внешние накопители.

Вся информация, записываемая пользователем на внешний носитель, незаметно для него копируется в защищенное хранилище на локальной машине и потом переносится на сервер. Функция теневого копирования создает копии файлов, которые пользователь записывают на устройства, и расширяет возможности аудита, позволяя проводить расследование возможных инцидентов.

Теневое копирование позволяет отслеживать информацию для отдельных пользователей, групп пользователей и носителей, которые подпадают под действие конкретной политики доступа Zlock. Это позволяет назвать теневое копирование высокоточным инструментом, применение которого позволяет службе безопасности организации получать только ту информацию, которая ей необходимо.

Дополнительно в Zlock реализовано теневое копирование распечатываемых документов. Это дает возможность контролировать пользователей даже в том случае, если им разрешено использование принтеров, но необходимо точно знать, что, где и когда они печатали. В теневой копии сохраняется вся служебная информация и сам распечатанный документ в формате PDF.

Сервер журналирования

В Zlock есть возможность сохранять события на сервер журналирования. Он позволяет быстрее и надежнее собирать, хранить и обрабатывать журналы событий.

Клиентские модули Zlock сохраняют все происходящие события на сервер журналирования, если он недоступен, то информация о событиях временно хранится на клиенте. Когда соединение с сервером восстанавливается, эта информация пересылается на сервер.

Сервер журналов может записывать информацию о событиях в базу данных Microsoft SQL Server, Oracle Database или в XML-файлы. Использование для хранения событий Microsoft SQL Server или Oracle Database позволяет обеспечить более высокую надежность и производительность.

Zlock Enterprise Management Server

Zlock EMS предназначен для централизованного хранения и распространения политик и настроек Zlock. Синхронизация с Zlock Enterprise Management Server идет с заданной администратором периодичностью и включает в себя проверку текущих политик и настроек агентов и их обновление при необходимости. Синхронизация происходит по защищенному каналу и может распространяться: всю сеть, на определенные домены, группы или компьютеры.

Контроль целостности Zlock

В Zlock существует возможность контроля целостности файлов и настроек программы. Если какие-то компоненты Zlock были несанкционированно модифицированы, доступ для входа в систему будет лишь у администратора. Это позволит защитить Zlock от изменений со стороны пользователей и вредоносного ПО.

McAfee Host Data Loss Prevention

Система защиты от утечек, которая основана на агентском контроле использования конфиденциальной информации. Host DLP состоит из агентских программ, которые установлены на рабочие станции сотрудников, и сервера управления.

Вычислительная часть решения McAfee Host DLP ведется на уровне конечных рабочих станций. Для этого на каждый ПК централизованно рассылается и устанавливается программа - агентский модуль McAfee Host DLP. Агент устойчив к закрытию и удалению - его невозможно деинсталлировать, даже имея права администратора.

Для обучения системе необходимо указать местоположение (на файловом сервере) защищаемых файлов. Согласно заданной администратором безопасности политике, на защищаемые документы "навешиваются" метки. Они находятся в параллельных потоках NTFS и не видны невооруженным взглядом.

Метки видны агентским программам McAfee Host DLP. Этот агент может ограничить отправку, запись на внешние или сменные носители, копирование в буфер и прочие операции, которые противоречат установленным политикам для конкретного пользователя с конкретной меткой.

Локально метки работают вкупе с цифровыми отпечатками (для слежения не только за контейнером, но и контентом). При открытии или копировании с сервера конфиденциальной информации агентская программа McAfee Host DLP отследит метку документа, снимет локальные цифровые отпечатки, и будет защищать содержимое от передачи за пределы станции в соответствии с установленными политиками безопасности. Поэтому, даже копирование фрагмента защищаемого документа будут отслеживаться и созданный на основе этого фрагмента новый документ унаследует метку.

В существующую инфраструктуру должны быть установлены агентские модули на каждую рабочую станцию и настроен сервер управления:

По результатам работы агентских программ логи событий отправляются на управляющий сервер McAfee ePolicy для анализа.

Основные возможности решения заключаются в 10 правилах реакции, которые может выполнять клиент на рабочих станциях:

1. Application File Access Protection Rule. Позволяет контролировать доступ пользователей (ведение логов) к конфиденциальной информации;
2. Clipboard Protection Rule. Позволяет блокировать копирование в буфер обмена для определенного контента. Например, копирование информации через буфер обмена, содержащей словосочетание "финансовый отчет" из MS Excel в MS Word может быть запрещено;
3. Email Protection Rule. Дает возможность проверять исходящие сообщения в электронной почте и блокировать утечку конфиденциальных данных;
4. Network File System Protection Rule. Может отслеживать перемещение конфиденциальных данных между компьютерами с установленным агентом, а также ее копирование на сменные носители;
5. Network Protection Rule. Позволяет блокировать передачу конфиденциальных данных через сетевые протоколы TCP\IP;
6. Printing Protection Rule. Позволяет выполнять анализ и, при необходимости, запрет на печать документов, если этот содержит конфиденциальную информацию;
7. PDF/Image Writers Protection Rule. Позволяет анализировать и, при необходимости, блокировать печать документов в файл или формат PDF;
8. Removable Storage Protection Rule. Позволяет анализировать и при необходимости блокировать передачу на внешний носитель конфиденциальных данных;
9. Screen Capture Protection Rule. Позволяет заблокировать выполнение операции "Print Screen" для определенных приложений;
10. Webpost Protection Rule. Может блокировать post-запросы в Internet Explorer - например, исходящие почтовые сообщения на веб-почте (mail.ru, yandex.ru).

Websense Data Security Suite (DSS)

Система защиты от утечек информации, которая основана на контроле исходящего сетевого трафика, поиска хранимых данных, агентского контроля.

Решение состоит из нескольких модулей:

1. Data Discover - модуль, осуществляющий сканирование корпоративной сети (компьютеров, серверов) и поиск конфиденциальных данных;
2. Data Protect - модуль, который анализирует исходящего трафика по всем каналам передачи, соуществляет мониторинг и блокирование утечки информации;
3. Data Monitor - модуль, аналогичный Data Protect, только без блокирования;
4. Data Endpoint - модуль, который контролирует конечные рабочие станции, ноутбуки на предмет перемещения конфиденциальных данных и запуска приложений.

Схема работы Websense DSS похожа на классическую для DLP-систем:

Подготовка перечня секретной информации

Для того чтобы решение Websense DSS заработало у клиента, необходимо сначала выделить и классифицировать конфиденциальные сведения, которые необходимо защищать. Документы в электронном виде надо поместить в файловые папки.

Внедренная система Websense DSS при подключении к хранилищу защищаемых документов и баз данных, получит цифровые отпечатки подготовленных документов.

Администратор безопасности настраивает правила реагирования на перемещение, копирование и другие операции с конфиденциальными данными.

Если в потоке трафика будут конфиденциальные сведения, то система Websense DSS точно определит, из какого источника взят этот документ, кто из сотрудников отвечает за работу с данным видом информации, какое действие необходимо выполнить по отношению к этой попытке нарушения безопасности.

Также идет оповещение о нарушении ответственного лица, которое может ознакомиться с файлом, отправленным нарушителем и принять решение об отсылке этого письма, либо начале расследования.

Возможности решения не ограничены указанным примером. Они много шире. Например, система Websense DSS может с высокой степенью вероятности находить стандартные структурированные документы, как то: резюме сотрудников, финансовые отчеты, паспортные данные, - в том числе и русскоязычные.

Решение Websense DSS может быть встроено в инфраструктуру заказчика разными вариантами.

Рассмотрим один из распространенных вариантов. Для установки решения Websense DSS потребуется как минимум один сервер "DSS Manager" уровня HP DL380, который будет анализировать весь корпоративный трафик. Дополнительно может быть использоваться еще один сервер "DSS Protector" (перехватчик), уровня HP DL360. Итого, 2 сервера в организации до 5000 сотрудников, передающих электронные сообщения через центральный офис. DSS может быть установлен и работать как в "прозрачном режиме" - для мониторинга трафика (без видоизменения, - отказоустойчивый вариант):

Рисунок 3 - "Прозрачный" режим работы Websense DSS

Так и в разрыв исходящего трафика (для мониторинга и предотвращения утечек):

Рисунок 4 - Режим разрыва исходящего трафика

На схемах сервера Websense обозначены как "Фильтр" и "Перехватчик". Для обеспечения контроля данных, которые сохраняются на внешних носителях, "перехватчиком" будет являться агентская программа Websense Data Endpoint, устанавливаемая непосредственно на рабочие станции пользователей или ноутбуки.

При необходимости обеспечения централизованной обработки трафика от нескольких территориально распределенных офисов холдинга заказчика, выстраивается иерархия из серверных компонент Websense.

Заключение

В Приложении 1 представлены основные цифры и выводы компании Ernst & Young за 2016 год (данные взяты с сайта tadviser.ru статья «Киберпреступность в мире»). Во всем мире сейчас очень остро стоит проблема защиты от кибератак. Организациям, которые работают с информацией, просто жизненно необходимы меры по предотвращению утечки конфиденциальных данных. Именно на это нацелены системы DLP, стремительное развитие которых стабильно повышающимся спросом любых организаций (от ИП предпринимателей до гигантских корпораций, чей бюджет может превышает бюджет отдельно взятых стран).

Появляются все новые виды уязвимостей, меняется отношение к информационной сфере на уровне правительств, все это заставляет двигаться вперед и сферу защиты информации.

Список используемой литературы

1. Websense Data Security Suite (DSS). http://www.leta.ru/products/websense-dss.html
2. Мастер-класс "Системы DLP: Ваша конфиденциальная информация не уйдет "на сторону". http://www.topsbi.ru/default. asp? trID=1206 http://www.topsbi.ru/default.asp?trID=1206
3. Системы защиты от утечек (DLP). http://www.infokube.ru/index. php/products/categories/category/dlp http://www.infokube.ru/index.php/products/categories/category/dlp
4. Как работают DLP-системы: разбираемся в технологиях предотвращения утечки информации. http://www.xakep.ru/post/55604/
5. Защита от утечек конфиденциальных данных Symantec DLP. http://computel.ru/decision/ssb/Symantec/
6. http://devicelock.ru
7. http://www.websense.com
8. McAfee Host DLP. http://www.leta.ru/products/mcafee-host-dlp.html
9. Системы DLP - Who? What? Where? How? http://www.topsbi.ru/default. asp? artID=1675 http://www.topsbi.ru/default.asp?artID=1675
10. http://www.tadviser.ru/index.php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F:%D0%9A%D0%B8%D0%B1%D0%B5%D1%80%D0%BF%D1%80%D0%B5%D1%81%D1%82%D1%83%D0%BF%D0%BD%D0%BE%D1%81%D1%82%D1%8C_%D0%B2_%D0%BC%D0%B8%D1%80%D0%B5

Приложения

Приложение 1

По данным опроса компании Ernst & Young 23 декабря 2016, в котором принимали участие более 1700 крупных компаний из разных стран и отраслей индустрии, только половина опрошенных (50%) считают себя способными обнаружить тщательно подготовленные кибератаки. Несмотря на увеличенные инвестиции в сфере киберзащиты 86% респондентов признают, что их службы информационной безопасности не соответствует в полной мере потребностям организации.

Почти две трети (64%) респондентов не имеют специальных программ сбора и анализа информации о киберугрозах, либо ограничиваются несистемными мероприятиями в этой области. Что касается выявления уязвимостей, более половины (55%) не располагают соответствующими техническими средствами и возможностями, или же такие средства используются нерегулярно, от случая к случаю. У 44% отсутствует операционный центр информационной безопасности для ведения непрерывного мониторинга кибератак и потенциальных угроз.

Более половины (57%) респондентов ответили положительно на вопрос об инцидентах в компании, в сфере кибербезопасности. Почти половина (48%) считают наибольшей уязвимостью своей организации устаревшие средства контроля, особенности архитектуры информационной безопасности. В 2015 году это заявили 34% опрошенных.

Респондентов беспокоят вопросы кибербезопасности:

• возросшие риски в результате действий сотрудников, совершенных по небрежности или незнанию (55% по сравнению с 44% в 2015 году),
• несанкционированный доступ к данным (54% по сравнению с 32% в 2015 году).

Основные ограничения, препятствующие работе функции информационной безопасности:

• недостаточное финансирование (61% по сравнению с 62% в 2015 году);
• недостаток или отсутствие квалифицированных кадров (56% по сравнению с 57% в 2015 году);
• недостаток понимания или поддержки со стороны руководства организации (32% без изменения к 2015 году).

Несмотря на всеобъемлющий характер современной цифровой экосистемы, исследование показало:

• 62% организаций считают маловероятным увеличение расходов на кибербезопасность в результате атаки, не причинившей видимого ущерба операционной деятельности
• 58% указали на низкую вероятность увеличения расходов на кибербезопасность в результате кибератаки конкурента
• 68% считают маловероятным увеличение своих расходов на кибербезопасность в результате кибератаки поставщика
• почти половина респондентов (48%) в течение первой недели после атаки не станет информировать клиентов, на деятельности которых атака могла бы отразиться, если кибератака явно привела к компрометации данных
• 42% организаций не имеют согласованной стратегии взаимодействия или плана действий на случай серьезной атаки.

Ключевые выводы исследования:

Компании подвергаются частым и успешным кибератакам

• Больше половины респондентов (53%) пострадали по меньшей мере от одной утечки данных за последние два года
• 74% опрошенных заявили, что в течение последнего года они столкнулись с киберугрозами, причиной которых стал человеческий фактор
• Оценивая последние два года, 74% респондентов сказали, что подвергались многочисленным хакерским атакам, а 64% были неоднократно скомпрометированы с помощью фишинга

Организации не могут обеспечивать непрерывную работу и быстро восстанавливаться после атак

• 68% считают, что их организации не способны противостоять кибератакам
• 66% не уверены, что их компания может эффективно восстановиться после атаки

Самым большим барьером является недостаток планирования и подготовки

• Только 25% используют план по реагированию на инциденты. 23% вовсе не приняли такого плана
• Лишь 14% респондентов осуществляют ревизию планов реагирования на инциденты чаще одного раза в год
• 66% называют отсутствие планирования самым большим барьером, мешающим их организации стать устойчивой к кибератакам
• Способность реагировать на кибератаки существенно не улучшилась
• 48% считают, что устойчивость к кибератакам их организации уменьшилась (4%) или не улучшалась (44%) в течение последних 12 месяцев
• 41% респондентов считают, что время устранения инцидента кибербезопасности увеличилось или значительно возросло, в то же время 31% заявили, что оно уменьшилось или существенно снизилось.