21 сентября, 2010 года, в Минске стартовало Роуд-шоу компании Searchinform по вопросам информационной безопасности.
Предлагаем вашему вниманию выдержки из выступлений участников и организаторов мероприятия.
Контур информационной безопасности SearchInform
Сергей Ожегов, коммерческий директор компании
О компании Searchinform
На корпоративном рынке наша компания присутствует уже более 10 лет. Изначально мы занимались продуктами по контекстному поиску. Эти продукты нашли своё применение как аналитические инструменты. Сейчас наша компания является лидером в России и СНГ по продуктам в сфере информационной безопасности. Открыто около 5 офисов — Москва, Сибирь, Урал, Казахстан, Украина, активно присутствуем в Беларуси, планируется открытие офиса в Татарстане. География офисов обусловлена прежде всего необходимостью быть ближе к заказчикам, которых становится всё больше и больше. Сегодня в Минске стартует наше Роуд-шоу, которое пройдёт по 11 городам России, Украины и Беларуси. Начинаем мы именно с Минска, потому что в Беларуси вопросы информационной безопасности актуальны как и везде, а решений по закрытию этих вопросов мало как нигде. Поэтому целью нашей конференции и презентации, которую посетило около 150 человек, является привлечение внимания руководства компаний к проблеме информационной безопасности.
Вопросы информационной безопасности в Республике Беларусь
Достаточно большой интерес в нашей компании вызывают вопросы информационной безопасности в Республике Беларусь. У многих предприятий мы интересовались об актуальности проблемы, на что получаем ответ, «у нас нечего защищать». Это были не только государственные компании, но и министерства. Единственная отрасль, которая единогласно приняла наше решение — банковская. Актуальность проблем информационной безопасности у них наиболее развита. Основная проблема в банковской сфере — это персональные данные. Например, Вы приходите оформлять кредит, заполняете анкету, указываете личные данные, вплоть до имущественной собственности и если эта информация станет достоянием общественности, никому от этого полезней не будет. Для коммерческих организаций — это клиентские базы, участие в каких-то конкурсных мероприятиях. Могу привести пример, белорусская организация участвовала в тендере, сумма была около 5 млрд. руб, конкуренты предложили на аналогичных условиях 4,95 млрд руб., в результате выиграли конкуренты, с разницей в 50 млн.руб. Достаточно серьезная проблема проектных организаций — это то, что около 80% рабочего времени сотрудники выполняют «левые заказы». Для министерств — это базы данных, где хранится очень большое количество информации, собрано максимальное количество баз данных. Вторая проблема по информационной безопасности, которую можно решить, — это учет рабочего времени, т.е. запросто можно проанализировать, что сотрудник делал во время работы. Например, если сотрудник тратит 60% времени на общение в icq или «одноклассниках», то соответственно КПД у него достаточно низкий и если он избавиться от этого, КПД значительно возрастет.
О системах защиты информации
Болтун — находка для шпиона. Человек, который выносит много конфиденциальной информации, может стать большой проблемой для руководителя организации, потому что утечка информации может повлечь серьезные потери, как финансовые, так и информационные. Каналы, по которым может «уходить» информация, это как интернет, почта, так и оффлайновые каналы (флэшки, принты). Это каналы, по которым пользователи могут вынести с работы информацию. В ряде организаций бытует мнение, что проще запретить использование как определенных интернет-ресурсов, но самом деле проще не запретить, а разрешить и контролировать. Потому что те же флэшки пользователям просто запретить, но тогда эффективность их работы падает в разы, чтобы куда выехать, что-то скачать, надо разрешение на запись, это тормозит его работу, следовательно тормозит работу компании.
Современные системы информационной безопасности должны позволять пользователю использовать всевозможные каналы для максимально эффективной работы, но в то же время должны предоставлять службе безопасности удобный и полноценный функционал для анализа информации, проходящим по этим каналам. Запретить один канал из пяти, еще не означат решить проблему, потому что остаются другие каналы. Службе безопасности должен быть предоставлен инструмент, который предоставит удобно и быстро анализировать информацию, «ходящую» по различным каналам. Именно анализ информации — то тонкое место в системе информационной безопасности, потому что количество информации «идущей» по всем каналам довольно велико. В нормально работающий компании 90% информации связано с ее операционной деятельностью каждодневной и только 10 или 5% носят конфиденциальный или ограниченный к использованию характер, за которой служба безопасности и должна следить. Именно аналитические возможности и нужны в данной системе. Что касается аналитических возможностей таких продуктов — это, поиск по словам фразы, по регулярным выражениям, которые формальны языком позволяют описать структуру базы данных, если «сливается» вся база, об этом получить уведомление. Конфиденциальные документы можно собрать в одно место, снять с них цифровой отпечаток и предотвращать их утечку. Наиболее эффективным является поиск документов похожих по содержанию, даже если пользователь взял оригинальный документ, отредактировал его и пытается его послать, система должна на это среагировать, именно поняв, что отсылаемый документ похож на аналогичный. Или же пользователь может задать список слов и фраз, характеризующий какой-то тип документов, например, «резюме», т.е. выбрать фразы «резюме», «опыт работ», «желаемая должность», «зарплата»... и посредством этого алгоритма находить документы из определенного класса.
Отдельно хотелось бы отметить работу с синонимами, но не с синонимами, к которым мы привыкли, а в пользовательском понимании. С рядом госорганов России нашей компанией была создана синонимическая база для борьбы с коррупцией. В синонимические ряды вошли такие слова, как «доллары», «президенты», «банки», «лавэ», т.е. тот сленг, который может быть использован в icq, Skype, переписке для решения вопросов тендеров или еще чего-либо. И в принципе, созданная совместно с нами такая база, в ряде мелких городов помогла повысить контроль за проведением закупок, за сотрудниками и доказать свою эффективность.
Очень важна идентификация доменной структуры, т.е. под чьей подписью осуществлялась отправка информации. Пользователи идут на всякие ухищрения, отсылают скриншоты, сканы документов, думая, что их текст не будет распознан, т.е. система должна работать обнаруживать, анализировать содержимое графических форматов, если в них есть текст, обнаруживать передачу зашифрованных файлов, если это не требуется в рамках политики компании.
Еще один момент, который важен, — это отслеживание настроения в коллективе, то чего не услышишь в курилке, зато то, что можно прочитать в icq переписках, Skype то, что пользователи постят на форумах, настроения отдельных сотрудником, пока обиженный сотрудник не стал инсайдером. И как следствие, необходимо создавать группы риска и мониторить сотрудников, в них попавших, особенно пристально. Если уже кто-то на чем-то попался, система должна позволять провести служебное расследование, т.е. должна предоставить архив и предоставить возможность за весь период работы просмотреть, что он отсылал по почте, что он писал на флэшку, в icq, просмотреть Skype-переписку. Система должна хранить и архивировать информацию, которую перехватывает, возможность получить срез активности сотрудника по всем каналам за какой-то определенный период, иметь возможность быстро проанализировать содержимое документов на его рабочей станции. Наш продукт создавался, что все эти критерии удовлетворять. Он позволяет контролировать и предотвращать утечку информации через почту, icq и единственный, кто на сегодняшний день умеет анализировать Skype, мы можем перехватывать Skype-чаты, файлы, голос и соответственно предоставлять службе безопасности все информацию по активностям Skype.
Несколько примеров из практики
У строительной компании «утекли» планы на застройку, соответственно внедрение MailSniffer позволило с этим бороться и выявить человека, который этому способствовал этим потерям.
Мониторинг Skype одной из компаний позволил предотвратить утечку информации за счет того, что служба информации узнала, что несколько сотрудников из одного отдела планируют переходить в другую компанию, конкурента. Стало понятно, что с пустыми руками они не уйдут, временно был перекрыт доступ к конфиденциальной информации, которая им могла быть полезна у конкурентов. В результате, они стали неинтересны, как для конкурентов, так и для этой компании.
Было установлено, что со склада уходит больше продукции, чем проходит по бухгалтерии. Удалось это выяснить , внедрив продукт PrintSniffer. Благодаря анализу печати и увидели очень много одинаковых (но не на 100% а 97-98%,) накладных . В одной накладной стояло одно количество товара, в другой — другое. Соответственно, одна накладная оказывалась на проходной, другая сдавалась в бухгалтерию, товара уезжало 5 тонн, по бухгалтерии как-будто бы 3.
Посредством мониторинга icq, индексации и анализа содержимого рабочих станций в одном госоргане России удалось выяснить, кто был инициатором хождения по локальной сети и выхода наружу стишком не очень хорошего содержания о руководстве данного госоргана. Служба безопасности смогла без труда найти инициатора, кто запустил этот стишок в icq, а также самый старый файл с этими стишками на рабочих станциях пользователей и соответственно понять, кто был инициатором и «навести шорох», чтобы все это прекратить.
Передача данных по Skype. Одна финансовая компания долго готовила проект по кредитованию. На это были потрачены маркетинговые исследования, финансы и в последний момент за несколько дней до сдачи проекта появилась сотрудница, которая отправила все это конкурентам. Но удалось договориться, чтобы не допустить такой нечестной конкурентной борьбы, сотрудница была уволена.
Aercom.by
