Защита персональных данных: почему классические DLP больше не работают

07.06.2024 |

Андрей Блинов.

От того, насколько ответственно компания оберегает данные своих сотрудников, зависит ее репутация и финансовое благополучие. По данным экспертно-аналитического центра InfoWatch в 2023 году произошел резкий рост объема утекших персональных данных – он составил 1,12 млрд записей, причем каждая десятая утечка информации напрямую была связана с действиями персонала российских организаций – халатностью или умышленными действиями. В ответ на ухудшение ситуации с утечками конфиденциальной информации компании предпринимали различные меры по укреплению кибербезопасности, в том числе установку DLP-систем. О том, почему важно повышать эффективность DLP-продуктов, почему классические DLP-системы больше не работают и что с этим делать, разбираемся с экспертом – руководителем по развитию продукта InfoWatch Traffic Monitor Александром Клевцовым.

Безопасность персональных данных обходится всё дороже

Хранением и обработкой ПДн занимаются в той или иной степени большинство организаций как в госсекторе, так и в бизнесе. Задача обеспечения безопасности конфиденциальной информации, в частности, клиентских баз – сегодня для них особенно актуальна. Законодательство в этой сфере становится более требовательным, штрафы за утечки ПДн растут, равно как и количество хакерских атак. Крупный инцидент может привести к самым плачевным последствиям: к срыву заказа, потере лояльности и клиентской базы и даже к остановке операционной деятельности. Устранять последствия утечки – болезненно, долго и дорого.

При этом технологии, подходы и инструменты, которые являются традиционными для систем DLP, не всегда подходят именно для защиты ПДн, а в некоторых сценариях вообще бесполезны. На иллюстрации – конкретный пример: фрагменты двух электронных писем, в одном из которых в подписи указаны легитимные контактные данные отправителя, а в другом содержится слив данных ключевого клиента. С точки зрения DLP-системы, использующей классические технологии анализа контента, это – совершенно одинаковые данные: фамилия, имя и номер телефона. Более того, даже лично взглянув на эти фрагменты, специалист ИБ, не зная контекста, вряд ли сразу определит принципиальную разницу между ними.

Сравнение двух технологий анализа DLP. Слайд из презентации InfoWatch

Традиционные DLP определяют ПДн по контенту (содержанию): помимо ФИО и контактной информации это может быть номер банковской карты, паспортные данные и т. д. Пересылка таких сведений является частью многих легитимных бизнес-процессов, поэтому полностью заблокировать отправку ПДн в сообщениях и электронных письмах в политиках DLP невозможно.

Для предотвращения утечек DLP-системы анализируют данные, подлежащие отправке, и пытаются их распознать. И здесь возникает проблема, так как эти средства умеют хорошо определять ту или иную категорию данных, однако распознавать бизнес-контекст, понимать ценность передаваемых данных классические DLP-системы не в состоянии, так как каждая порция персональных данных несет разную смысловую нагрузку и имеет разную ценность.

В качестве примера можно привести процесс рассылки выписок или индивидуальных предложений банка клиентам, где каждому адресату необходимо отправить ту или иную чувствительную информацию. На каждый конкретный email должны быть переданы персонализированные конкретные сведения: номер телефона, номер счета, имя клиента, телефон. Даже если это средний по масштабу банк с базой в 100000 клиентов, – ему придется либо расписывать 100000 отдельных политик DLP, либо смириться с множеством ложноположительных срабатываний DLP-системы. Большой объем отосланных легитимных писем может быть использован внутренними нарушителями для того, чтобы создавать похожие по содержанию письма с персональными данными, запрещенными к разглашению. Также, выполняя рутинную работу, сотрудники организации могут допускать ошибки и отправлять адресатам информацию, которая для них не предназначена.

Новый уровень защиты ПДн в InfoWatch Traffic Monitor

При традиционном подходе к защите персональных данных DLP-система в результате контентного анализа может определять некую категорию данных, но не может распознать сценарии отправки, в каком из них отправка является легитимной, а в каком – утечкой данных.

Преимущества InfoWatch Traffic Monitor. Слайд из презентации InfoWatch

InfoWatch Traffic Monitor анализирует персональные данные по контексту: например, если банковская выписка отправляется владельцу соответствующей карты, то это письмо считается легитимным, а если постороннему лицу, – нарушением. Аналогично конфиденциальные данные контракта в одном случае могут быть отправлены подрядчику, с которым подписан NDA, а в другом случае – конкуренту. Благодаря глубокому анализу контекста система, начиная с версии Traffic Monitor 7.8, характеризуется возможностью динамической настройки и более качественным выявлением угроз.

Проанализировав бизнес-контекст в тексте электронного сообщения, система в каждом отдельном случае может точно определить, что данная порция персданных – не просто подпись сотрудника, а конкретные данные клиента или партнера, и отправляются они на легитимный e-mail. Достигается это за счет интеграции и синхронизации системы DLP с бизнес-системой организации, в которой хранятся необходимые данные: это может быть инструмент банковской автоматизации (ABS), CRM, ERP или другой источник данных. Таким образом DLP-система Traffic Monitor хранит и автоматически обновляет необходимое количество политик.

Важным преимуществом InfoWatch Traffic Monitor является высокая производительность. Так, в обычной DLP-системе на поиск комбинации полей одного перехваченного письма (номер паспорта, ФИО, номера счетов) уходит 0,0001 секунды, соответственно, проверка цифровых отпечатков 100 000 клиентов займет примерно 1,5 минуты. В итоге при отправке за периметр хотя бы 10000 писем ежедневно обработка трафика будет занимать около 250 часов.

Решение InfoWatch имеет запатентованные алгоритмы индексации и поиска. Благодаря им проверка любого письма или сообщения, по базе из 10 млн клиентов будет занимать не более 0,1 секунды. Это значит, что за 0,1 секунды система точно проверит, содержатся ли в письме персональные данные конкретного клиента и не отправляются ли они другому контактному лицу. Такая скорость позволяет реализовать и другую важную опцию системы: блокировку отправляемого письма в случае возникновения подозрений.

Функциональность защиты клиентских баз по множеству параметров уже внедрена в DLP-системе одного из заказчиков InfoWatch. Здесь уже реализован режим блокировки: если какие-то данные партнера или клиента компании по ошибке или умыслу отправляются не владельцу этих данных, сообщение блокируется. При этом решение подразумевает и наличие «белых списков»: существует перечень сотрудников, как правило, руководящего звена, которые могут всегда получать любые персональные данные контрагентов.

«Наша технология, по сути, реализует автоматическую политику DLP. Оригинальная технология индексации учитывает особенности лингвистики, естественного языка. На входе может быть любой неформализованный, неструктурированный текст – хоть письмо, хоть 50-страничный документ. Система принимает решение исходя из контекста данных. Если у вас, к примеру, 100000 клиентов, партнеров, поставщиков – то автоматическая политика сгенерирует 100000 правил. При этом она гибко конфигурируется, настраивается. Клиент может заложить в нее ту логику, которая точно соответствует его бизнес-процессам», – комментирует Александр Клевцов.

Не только ПДн: сценарии применения технологии защиты данных InfoWatch

По опыту клиентов InfoWatch, новая технология может защищать не только данные клиентов или внешних контрагентов, но и любого рода данные, которые хранятся в корпоративных базах данных или базах данных бизнес-систем: товарные позиции и закупочные цены, данные сотрудников, партнеров и поставщиков.

Одним из неординарных кейсов является применение Traffic Monitor для блокировки коммерческих предложений, отправленных сотрудниками компании по ошибке партнерам, с которыми не подписан NDA (соглашение о неразглашении). Даные о том, подписан NDA или нет, DLP-система подгружает из CRM-системы заказчика вместе с другой информацией. В данном случае DLP выполняет функцию не предотвращения утечки, а управления качеством бизнес-процессов.

Преимущества применения InfoWatch Traffic Monitor. Слайд из презентации InfoWatch

Другой кейс связан с принятой в компании автоматизированной рассылкой зарплатных листков в виде файлов-вложений в электронном письме. В этом случае два раза в месяц персональные данные в огромных объемах отсылаются за ИТ-периметр компании, в том числе на личную электронную почту удаленных сотрудников, фрилансеров и аутсорсеров. Без использования контекстного анализа офицер безопасности в момент рассылки получил бы большое количество ложноположительных срабатываний DLP-системы. В Traffic Monitor данные сотрудников синхронизируются, указываются их легитимные email. Система самостоятельно определяет, что получатель данной порции данных совпадает с владельцем зарплатного листка и отправка легитимна. Это снижает степень нагрузки на специалиста ИБ и позволяет ему уделять больше внимания выявлению действительно актуальных угроз.

«Технология контекстного анализа применима не только к защите клиентских баз, но и к поддержке качества бизнес-процессов. Она определяет не просто структуру данных в трафике, а бизнес-контекст конкретного клиента, сотрудника, поставщика, а также условия, в которых эти данные отправляются. Тем самым она позволяет оперативно реагировать на нежелательные отправки. Да, она требует интеграции и синхронизации с бизнес-системой заказчика. Но пилотировать ее можно без каких-то сложных интеграций», – резюмирует Александр Клевцов.