Войти в профиль iXBT.com
Можно ввести логин и пароль от конференции
Забыли пароль?
Войти или зарегистрироваться через соцсеть

Контроль информационных потоков в условиях мобильного рабочего места

Большинство контейнеров позволяют ограничить покидание информации из контейнера, но узнать, как сотрудник использовал свой доступ к корпоративной информации через мобильное устройство, они не позволяют. Единственное решение, которое может позволить это, интеграция контейнера с DLP-системой.

Андрей Арефьев, руководитель отдела развития продуктов InfoWatch, начал свое выступление с того, как в его глазах выглядит трансформация бизнеса, его «диджитализация». На рис. 1 изображены одни из наиболее актуальных на сей день ИТ-технологий.

Рис. 1.

Все эти технологии приводят к определенным нюансам, связанным с информационной безопасностью. С помощью аналитического агентства InfoWatch можно увидеть картину роста утечек информации, которая показывает, как из года в год растет их число и это несмотря на то, что на рынке существует большое число ИБ-систем.

Рис. 2.

На рис. 2 представлено распределение утечек по каналам в России и в мире по данным аналитического центра InfoWatch. Удивительно, но 45% утечек в мире связано с бумажными документами.

Естественно, основным инструментом по борьбе с утечками являются DLP- системы, которые прежде всего позволяют быть в compliance с требованиями регуляторов. На основе тех данных, что DLP- система собирает, можно выявлять аномальное поведение сотрудников, выявлять распространение социальных эффектов как внутри компании, так и снаружи. Эта система может использоваться для выявления сговоров, саботажей, мошенничества, распространения клеветнической информации, в том числе в социальных сетях. DLP-система ищет причины инцидентов, устанавливает скрытые связи между персонами и событиями.

Здесь важно отметить, что полноценная DLP- система должна обрабатывать миллионы событий в день с помощью контентного анализа пересылаемых данных, в том числе использовать морфологического анализ более 20 иностранных языков, поддерживать анализ графической информации. Если DLP-система обрабатывает миллион событий в день, то даже один процент ложных срабатываний будет очень сильно влиять на нагрузку службы информационной безопасности. Производительность мощной DLP-системы должна позволять анализировать до 2 Тбайт почтового трафика в день.

Существенным фактором снижения количества ложных срабатываний является хорошая интеграция с бизнес-системами, в первую очередь с ERP-системами. По словам Андрея Арефьева, в конце 2018 года InfoWatch анонсировал интеграцию своего ПО с ERP-системой компании SAP.

Почему InfoWatch это сделал? Простой жизненный пример: если вы хотите с помощью DLP-системы защитить информацию о ваших клиентах, чтобы контролировать и выявлять факты, когда их контакты покидают периметр вашей компании. С помощью каких-то регулярных выражений или стандартных правил это сделать практически невозможно, поскольку информация в виде номеров телефонов и электронных адресов постоянно курсирует через периметр компании, другое дело что, как правило, это данные о сотрудниках. Как решить задачу выявления утечки инфо о ваших партнерах или клиентов? Единственный способ – это опираясь на базу данных SAP проверять что данные этого вендора не пересекают периметр компании в любом виде. Для этого и сделала интеграция с системой SAP.

Интеграция с сетевым оборудованием также важна для DLP-системы, поскольку это естественный источник информации, который DLP-системой и обрабатывается.

Любая современная DLP-система должна интегрироваться с SIEM-системой, она не может обойтись без блокировки, которая должна базироваться на политиках безопасности. Это не значит, что вы должны заблокировать копирование, например, на сетевые носители, или на USB-флешки, или в облачные хранилища. В определенной ситуации нормально, когда сотрудники имеют доступ к облачным хранилищам, но важно при этом чтобы контент анализировался и выявлял не легитимные операции.

По представлению Андрея Арефьева, примерно 70% сотрудников имеют доступ к корпоративной информации с мобильных устройств, но такой доступ как правило плохо контролируется DLP-системами. Скажем, если у вас есть доступ к корпоративной почте, вместо того, чтобы отправлять конфиденциальный документ, вы можете написать драфт письма, приложить этот документ к драфту письма, спокойно открыть этот драфт на своем мобильном устройстве и скачать аттачмент к письму, при этом ни одна DLP-система не в состоянии обнаружить этот документ, потому что по факту информация не никуда не отправлялась. Таким образом злоумышленник имеет возможность беспрепятственно пересекать границу вашей компании и при этом никто его не отловит.

Есть для такого случая решения, но они должны быть специальным образом внедрены. Другой простой пример: кража или потеря оборудования. Большинство компаний разрешают использовать персональные мобильные устройства, т.е. BYOD-устройства. Однако возникает факт: вы не можете полностью его контролировать, поскольку сотрудник как бы отдает свое устройство в аренду.

Не всегда возможно полноценно настроить политики безопасности на устройстве сотрудника, а при этом часто появляется желание дать ему доступ, потому что это увеличивает эффективность работы этого человека, что особенно актуально для полевых сотрудников, им необходим непрерывный доступ к корпоративной информации. И тут возникает проблема кражи и потери таких устройств, при этом нет возможности 100-процентрой гарантии безопасного хранения информации на этих устройствах, значит эта информация скомпрометирована и может оказаться в руках злоумышленников, особенно это касается кражи.

Какие способы борьбы с этим существуют? «Некоторое время назад мы пробовали создать агента на мобильные устройства, - отметил Андрей Арефьев, - и наша практика показала, что это не очень эффективно. Это хорошо с точки зрения работы, поскольку с помощью агента решаются задачи безопасности для ноутбуков, рабочих станций, но проблема с мобильными устройствами в их разнообразии, не всегда удается на них поставить агента, а примерно на 10% устройств – это сделать просто невозможно».

В мировой практике получило широкое распространение использование контейнеризации, когда доступ к корпоративной информации возможен с мобильного устройства, но из специально установленного на него контейнера. В таком случае возникает возможность разграничить доступ: с одной стороны, у сотрудника остается своя область приватной безопасности, где он может вести свою частную жизнь, при этом компания за ним не следит. А с другой стороны - компания получает гарантию того, что сотрудник, использующий доступ через контейнер к корпоративной инфраструктуре, контролируем с точки зрения той информации, которую он использует. Важно, чтобы ИБ-службы могли выяснить какие корпоративные документы были на мобильном устройстве в случае его кражи, что там реально находилось, есть ли серьезные риски, связанные с инцидентом.

Благодаря использованию контейнеров появляется возможность контролировать какая информация может покинуть контейнер, а какая не может. Существует ряд стандартных контейнеров, но они не решают всех задач.

Большинство контейнеров позволяют просто ограничить покидание информации из этого контейнера, а выявлять что именно попало в него и что покинуло, как сотрудник использовал свой доступ к корпоративной информации через мобильное устройство, они как правило не позволяют. Единственное решение, которое может позволить это, это когда вы такой контейнер интегрируете с DLP-системой.

На данный момент известна только одна такая интеграция, это интеграция InfoWatch Traffic Monitor и WorksPad – решения от компании «МобилитиЛаб» («Лаборатория корпоративной мобильности»).

WorksPad – это безопасный защищенный контейнер, с помощью которого ИБ-служба получает возможность контролировать что попадает на устройство, что покидает его, как используется доступ и при этом сохранять «прайвеси» сотрудников, которые используют это решение.

Далее слово взял Сергей Орлик, генеральный директор компании «МобилитиЛаб».

Одним из проектов Национальной технологической инициативы по направления Техно, является SaveNet и в частности в SaveNet одним из тематических проектов стало построение российского программного BlackBerry. Здесь важно, что решение должно быть чисто программным и могло функционировать на личных устройствах. Здесь также важно разделение личной и корпоративной информации. «Мы не должны вмешиваться в приватность пользователя, но и должны обеспечивать конфиденциальность документов. – сказал Сергей Орлик. - Когда мы говорим об использовании мобильных устройств, то (из свежей статистики) 2/3 сотрудников использует личные планшеты и смартфоны для работы. Даже есть термит BYOD (Bring Your Own Device) – что означает дословно «принеси свое устройство».

Если посмотреть на наиболее востребованные сервисы, помогающие работать сотруднику, который постоянно не находится за своим стационарным рабочим местом, это конечно почта, доступ к библиотекам, документам, файловым ресурсам, которые находятся в интранете, и к различным внутренним системам, обладающим вэб-интерфейсом.

Эти задачи могут решаться по-разному. Там, где не очень задумываются о конфиденциальности информации, начинают использовать множество приложений, предустановленных на мобильных устройствах, ставят свои почтовые клиенты, различные средства доступа к документам, но возникает достаточно большая проблема потери продуктивности.

Стандартный пример. Вам переслали на почту ZIP-архив, в котором находится два файла: a.doc и a.xlsx. В почтовом клиенте вы скачиваете этот архив, сделаете open in – открытие в специальном приложении, которое занимается работой с архивами, оттуда откроете a.xlsx в каком-то офисном редакторе, a.doc – в другом приложении, внесете в файл a.xlsx какие-то правки. Теперь вам нужно этот документ сохранить и поделиться этим документом с коллегами, т.е. положить на какой-то внутренний портал. А теперь представьте сколько при таком сценарии возникло копий данных документов? И насколько сложно проконтролировать эти все приложения - dropbox, outlook и другие, причем outlook кеширует данные в облаке. Возникает достаточно серьезный комплекс вопросов. «С нашей точки трения таких вопросов три: мы не можем работать, когда объектами работы являются различные информационные сущности - почта, календари, документы, внутренние сайты, у нас дублируются различные версии документов по разным приложениям и мы не можем контролировать работу с информацией, - констатирует Сергей Орлик. - Насколько актуальна утечка информации, насколько актуальна мобильность на сегодняшний день в корпоративном секторе»?

Приведем другой пример. На корпоративную почту получен документ и при этом в стандартном почтовом клиенте подключено несколько аккаунтов, корпоративный аккаунт и личный аккаунт.

А дальше, если сделать форвард сообщения, происходит интересная картина, если бы сотрудник находился в корпоративном периметре и использовал штатный корпоративный почтовый клиент на десктопе, никаких бы вопросов не было, и тот же traffic monitor не дал отправить документ на личный адрес (mail.ru или gmail.com). Однако на мобильном устройстве мы можем сделать следующее: выбираем отправителя, переключаемся на свой личный аккаунт, и отправка конфиденциального документа на любой внешний адрес происходит, что является по сути выходом за периметр.

Каким-то образом с этими проблемами надо бороться, особенно учитывая, что мобильное устройство используется именно сотрудниками, которые обладают доступом к значимой для организации информации. Для iOS и Android мы сталкивается не только с проблематикой продуктивности, но и с общей проблематикой безопасности, даже если мы забываем о личных устройствах, во многих организациях выдаются корпоративные, по крайней мере определенным категориям сотрудников.

Мобильные устройства очень часто связаны с облаками и здесь сочетание использования персональных приложений для работы с корпоративной информацией и неконтролируемых облачных сервисов также представляет проблему, которая переросла в нечто достаточно серьезное.

«Создавая концепцию нашего решения, мы пытались решить озвученные выше три ключевых задачи, - сказал Сергей Орлик. - Мы использовали подход, связанный с контейнеризацией, т.е. вся корпоративная информация находится внутри приложения. Когда я уезжаю из офиса, то начинаю с блокировки экрана, возвращаясь, я экран разблокирую. У меня на ноутбуки открыто несколько писем и презентаций, несколько документов, с которыми я продолжаю работать. На мобильном устройстве в конкретный момент времени у меня максимум идет работа с двумя приложениями. Но сценарий любого информационного сотрудника – он многозадачный. Эти проблемы продуктивности мы пытались решить».

Разработчики «МобилитиЛаб» объединили в рамках единого приложения, в качестве среды доступа и работы с корпоративной информацией, ключевые функциональные возможности почты, календарей, контактов, доступа к файловым ресурсам, а с другой стороны предложили то, что мы называем многоэкранностью, т. е. средство поддержки многозадачности, когда одновременно можно открыть несколько документов и непосредственно на месте получить доступ к своим файловым ресурсам.

На экране реальный WorksPad и есть возможность выбрать соответствующий документ, можно его открыть в отдельном экране.

Можно легко между этими экранами переключаться, при этом в любой момент можно обратиться к почте.

И открыть в отдельном экране свое сообщение, редактировать его и открыть вложение из этого сообщения, переключившись автоматически в файлы. Аналогом Alt-Tab является левая нижняя иконка, которая отображает ленту всех открытых документов. Если выгрузить WorksPad, а потом снова загрузить его, то все документы и письма, сайты, которые были открыты, они снова будут доступны в любой момент времени, нажав Tab для переключения в любую из этих сущностей.

Например, зайти на внутрикорпоративный сайт, войти в какую-то систему (это административная консоль WorksPad), скачать и сохранить файлы здесь же в файловой системе или переключиться в календари и поработать там, причем не только со своими календарями, но и календарями коллег, если они подключены на настольной системе.

Таким образом у нас есть единая среда, которая позволяет, не покидая ее, работать со всей необходимой корпоративной информацией, уделяя очень серьезное внимание аспектам безопасности. Существует редакция с ГОСТ-шифрованием на базе алгоритмов компании ИнфоТеКС, также существуют различные политики, которые позволяют запретить полученной информации не только выход за пределы контейнера, но и тьюнить какие-то моменты, связанные с доступностью тех или иных ресурсов. У нас есть файловый web-клиент, который обеспечивает привычные в персональных сервисах удобные инструменты.

Можно взять любой документ, который есть на внутреннем ресурсе, если у вас есть права доступа к этому, то опубликовать это для внешних пользователей, задав определенные политики таких внешних пользователей к соответствующему документу. Это все дает единую инфраструктуру, которая обеспечивает более удобное и не ущербную с точки зрения ИБ работу.

Существуют различные средства контроля корпоративной информации. DLP здесь играет ключевую роль. К сожалению не каждый сотрудник поставит DLP-агента или Mobile Device Management, а геопозиционирование в последнем варианте включено по умолчанию Для топ-руководителей или акционеров компании, это не только вопрос информационной, но и физической безопасности.

На уровне соответствующих политик мы можем задать, что мы считаем интранетом, что считаем Интернетом, и таким образом определить, что для определенных категорий пользователей можно посещать только вот такие сайты…

Сейчас на главной

Публикации

Как российский пиар переселяется в цифру

Ждет ли отрасль ИИ-революция, заменят ли пиарщиков роботы и как поможет цифровизации единый Глоссарий терминов. Представленный в прошлом году Ассоциацией АКОС Глоссарий терминов цифрового PR, по словам его создателей, стал вехой на пути к цифровым реформам.

Проблемы совместной работы ИБП и блоков питания с APFC

Существуют ли проблемы совместной работы ИПБ (UPS) и блоков питания с APFC? Оказывает ли влияние форма выходного сигнала UPS (синусоида или ее аппроксимация) на такую работу?

Серверные решения торговой марки «Звезда»

Состоялось мероприятие компании дистрибьютора OCS и компании производителя - «Звезда», российского разработчика и производителя вычислительных платформ и программного обеспечения. На мероприятии знакомимся с вендором и его серверными решениями. Разбираем технические характеристики оборудования, его возможности и преимущества. Отвечаем на самые актуальные вопросы.

Корпоративный мессенджер Росчат

Сегодня спикер Иван Владимирович Горбачев, руководитель направления «Унифицированные коммуникации» группы компаний «Информтехника» ведет мероприятие под названием «Корпоративный мессенджер Росчат». ГК «Информтехника» - это ведущий российский разработчик и производитель современных средств связи. В рамках встречи мы поговорим о российском корпоративном мессенджере «РОСЧАТ» — единой коммуникационной платформе и системе безопасного обмена информации между сотрудниками компании.

Центр обучения ATБ PLUG-IN Азиатско-Тихоокеанского банка: обучаем кадры и развиваем Восток России

Готовые решения 26 декабря 2022 15:36 0

15-16 декабря в Самаре подвели итоги VI ежегодной Программы «Развитие регионов. Лучшее для России», лауреатами которой стали более пятидесяти компаний, чья деятельность направлена на повышение качества жизни граждан всей страны. Редакция встретилась с одним из победителей – Азиатско-Тихоокеанским банком – и беседовала с командой в лице IT-директора, заместителя председателя правления Руслана Хисматуллина, HR-директора Вадима Коровина и руководителя проекта Екатерины Акининой.