Может ли маркировка ПД стать средством от их утечек
Регулирование / Статьи
информбезопасность персональные данные
8.11.2022

Белая метка для персданных

Может ли маркировка ПД стать средством от их утечек

Минцифры и эксперты IT-отрасли активно ищут новые способы защиты персональных данных (ПД) пользователей от утечек. Во многих госорганизациях и бизнес-структурах на документы с чувствительной информацией наносят особые метки. Можно ли использовать маркировку ПД для защиты от утечек и хищений, что такое маскировка данных и почему без комплекса ИБ-мер в этом деле все-таки не обойтись – в материале RSpectr.

ТРИ ПОДХОДА

Минцифры РФ изучает возможность введения страхования рисков утечек ПД для операторов. Также в качестве наказания за подобные инциденты предлагалось установление оборотных штрафов.

Персональные данные мало чем отличаются от другого вида конфиденциальной информации и должны особым образом помечаться, отмечают эксперты. Какие технологии маркировки документов сейчас существуют? Руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев перечислил RSpectr три подхода, которые можно настроить в специальном защитном ПО. Они различаются архитектурой исполнения и «видимостью» для пользователя.

Первый подход позволяет ставить внутри документов заметные для пользователя водяные знаки в виде текстовой надписи или определенного изображения. По словам эксперта, это можно делать автоматически, если настроить программу на поиск конфиденциального контента, или вручную.

Алексей Парфентьев, «СёрчИнформ»:

– Вторая технология также преобразовывает контент документа, но делает это почти незаметно для глаз за счет смещения элементов текста, видоизменения букв и прочих модификаций. В документ зашивается информация о сотруднике, который производит операции с файлом. Все эти данные можно увидеть, вставив образец выгруженного документа в специальное ПО.

Третья технология меняет не текст, а документ через внедрение в файловые потоки, атрибуты файла или с помощью изменения записей внутри XML (из которых состоит офисный документ). На выходе получается отмеченный файл, однако обычный пользователь этого не заметит, рассказал Алексей Парфентьев.

По словам руководителя отдела пресейла Crosstech Solutions Group Станислава Фесенко,

маркирование документов может применяться для разграничения доступа между сотрудниками различных подразделений внутри компании

Как пояснил он RSpectr, в продукте Crosstech Solutions Group DSS – Docs Security Suite – единицей информации, подлежащей маркировке, является сам файл документа.

Станислав Фесенко, Crosstech Solutions Group:

– Это дает дополнительные преимущества, например, возможность автоматизированного шифрования/дешифровки документов определенного уровня конфиденциальности «прозрачно» для пользователей с доступом, без их участия.

В целом маркировка документов помогает снизить количество ошибок при работе с ними внутри организаций и настраивать системы кибербезопасности. Этот способ применяют отечественные и зарубежные предприятия банковской сферы, госсектора, промышленности и ТЭК, отмечают эксперты.

Но, как подчеркнул в беседе с RSpectr бизнес-консультант по информационной безопасности Positive Technologies Алексей Лукацкий, этот метод имеет узкую сферу применения только для тех ПД, которые находятся в документах.

Что делать с личными сведениями, которые хранятся в базах данных, в мультимедиа, создаются динамически или размещаются в файлах, форматы которых не допускают размещения в них метки?

Алексей Лукацкий, Positive Technologies:

– Даже с маркированными документами ситуация такова, что их можно распечатать, а потом распознать и создать новые документы, уже без метки. Поэтому у данного метода есть достаточно серьезные ограничения. Кроме того, он не позволяет предотвратить утечку или хищение.

Кроме того, маркировка документов обходится компаниям довольно дорого, обратил внимание RSpectr независимый эксперт Андрей Ситнов. По его словам, любая подобная система требует юридической проработки, иначе затраты на защиту не будут покрываться возможной компенсацией ущерба. В целом, цена системы защиты не должна превышать стоимости оберегаемой информации, подчеркнул он.

КОНТЕЙНЕР С ДАННЫМИ

Итак, маркировкой можно гармонизировать документооборот и снизить количество ошибок персонала при работе с чувствительной информацией.

Но если злоумышленник просто скопирует сведения из документа и отправит их через мессенджер или email, то отследить источник этой информации и уровень ее конфиденциальности не получится, потому что для всех систем безопасности это просто текст, отметил Станислав Фесенко. По его словам,

маркировать можно только документ или «контейнер», содержащий данные. Уберечься от копирования можно наложенными средствами защиты

Станислав Фесенко, Crosstech Solutions Group:

– В офисный пакет можно установить дополнительную надстройку, которая управляется правами пользователей: возможностями редактирования, копирования, изменения конфиденциальности документа по своему усмотрению. Так формируется политика безопасной работы с конфиденциальными документами.

Благодаря установке агента на рабочей станции становится неважно, каким образом документ попал в определенный компьютер (через флешку, электронную почту, мессенджеры, из облака) – он находится на диске в рабочей станции. Дальше документ открывается в Word, в котором стоит считывающая метку надстройка. Она применяет все запрещающие или разрешающие правила.

Таким образом можно защитить документ, но пометить отдельные символы, из которых состоят данные, нет технической возможности. Даже если поставить себе такую цель, то нужно будет полностью пересмотреть структуру документов, отказаться от общепринятых форматов офисных файлов и создать новые протоколы, рассуждает эксперт.

Станислав Фесенко, Crosstech Solutions Group:

– Метки придется зашивать чуть ли не внутрь каждого символа. Понадобится новый редактор для текстов, таблиц и презентаций. Для внутренней инфраструктуры компаниям придется покупать новые программные продукты. В итоге это сильно затруднит использование и обмен документов, содержащих подобные данные, как внутри, так и между организациями.

Существует и другой подход – маскирование, при котором информация автоматически скрывается. Например, в банковской карте оставляют первые четыре и последние две цифры, а остальные заменяются символами X или звездочкой *.

По словам эксперта, существуют решения, позволяющие произвести во всех документах такую замену автоматически и на постоянной основе. Например, при обнаружении данных, похожих на номер банковской карты или паспорта, такие системы автоматически маскируют их. Таким образом, документы становятся менее ценными для злоумышленников, отметил Станислав Фесенко.

Маркировка документов – это последний эшелон безопасности

Документы или базы данных, хранящие ПД, находятся внутри информационного периметра организации, для защиты которого существуют системы:

  • Внешние – не позволяющие злоумышленникам проникать в IT-инфраструктуру: средства сетевой защиты, файрволлы, системы обнаружения вторжений, различные песочницы, решения для контроля трафика, а также инструменты для поведенческой аналитики.
  • Внутренние – средства доступа к общим файловым ресурсам, а также для разграничения доступа к базам данных.

Можно различными способами минимизировать вероятность проникновения хакера в сеть компании. Если ему все-таки удалось это сделать или злоумышленник оказался внутренним нарушителем, нужно не позволить ему получить доступ к ресурсам, в которых хранятся ПД, подчеркнул эксперт.

ДОСТУП НЕ ДЛЯ ВСЕХ

В начале ноября российский кикшеринговый сервис Whoosh выявил у себя утечку данных нескольких миллионов клиентов. Причиной инцидента стало нарушение правил безопасности одним из сотрудников компании. Злоумышленники получили доступ к никнеймам пользователей, номерам телефонов, электронной почте и маскированным номерам банковской карты.

DLP-системы в подобных случаях не всегда срабатывают, подчеркнул в беседе с RSpectr управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры» Михаил Емельянников.

Большинству пользователей информационных систем операторов, которые являются операторами ПД, предоставляется избыточный доступ. Поэтому

нужно ограничивать доступ к большим базам данных о работниках или клиентах

При этом даже внутри базы необходимо давать сотруднику доступ только к тем частям, которые ему необходимы для выполнения служебных обязанностей, настаивает юрист. Этот простой и дешевый способ даст больше эффекта в борьбе с утечками, чем установка дорогостоящих ИБ-систем, полагает Михаил Емельянников.

По мнению Алексея Лукацкого,

«серебряной пули» в деле защиты персональных данных не существует – это всегда комплекс защитных мер

Он включает в себя не только предотвращение, но и обнаружение попыток кражи или утечек ПД, а также реагирование на них.

Алексей Лукацкий, Positive Technologies:

– Достаточно вспомнить приказ №21 ФСТЭК по защите ПД, который включает в себя более полутора сотен мер. Конечно, не все из них обязательные, но точно с помощью одной-двух проблему не решить.

Кроме того, нельзя забывать про инструменты оценки защищенности, которые подтвердят, что механизмы защиты внедрены корректно, обратил внимание эксперт.

Тимур Халудоров

Изображение: RSpectr, Adobe Stock

Еще по теме

Насколько эффективной будет маркировка синтезированного нейросетью контента

Как повлияет система обязательного страхования от утечек на операторов ПД

Каким стал профиль современных киберугроз

Готовы ли госкорпорации тратить из бюджетов не менее 70% на ПО-вендоров

Зачем операторам связи упростят доступ в многоквартирные дома

Как бизнес будет работать с биометрической информацией в новых условиях

Как попасть и не выпасть из реестра провайдеров хостинга

Какие меры безопасности примут провайдеры для борьбы с нелегальными доменами

ФСТЭК, НКЦКИ и Минцифры обозначили приоритеты в защите КИИ, госинформсистем и персональных данных

Почему безопасность «с пеленок» станет неотъемлемой частью всех киберсистем

Власти и участники телеком-рынка оценили перспективы защищенности суверенной информационной инфраструктуры

Что сейчас обсуждают специалисты по защите персональных данных

Почему компаниям не надо быть святее Папы Римского при защите персональной информации

Чего ожидать от нейросетей и как избежать необратимых последствий

Что нужно знать юристу, решившему работать в ИТ-компании