В очередном исследовании компании InfoWatch проанализированы известные случаи утечки конфиденциальной информации и выявлены некоторые тенденции в этой сфере.

Аналитический центр InfoWatch (www.infowatch.ru), подведя итоги прошедшего года, представил очередное глобальное исследование инцидентов внутренней информационной безопасности. В ходе исследования анализировались все утечки конфиденциальной информации (в том числе персональных данных), упоминавшиеся в СМИ в истекшем году. Рассматривались инциденты во всех странах мира и во всех отраслях. Исходными данными для исследования служил массив инцидентов, содержащий несколько тысяч записей. Эту базу данных аналитический центр InfoWatch начал формировать еще в 2004 г.

Результаты исследования

Откуда утекает информация

Еще в прошлом году аналитики пришли к единому мнению о том, что географических закономерностей в утечках выявить не удастся. Это не значит, что таких закономерностей нет, но если черпать большую часть информации из сообщений СМИ, то выборка по странам получится далекой от репрезентативности.

Распределение инцидентов по типу организаций представлено на рис. 1. В прошлом году мы делили организации на государственные и негосударственные; на сей раз кроме государственных органов и негосударственных коммерческих предприятий выделены также негосударственные некоммерческие организации (в основном это учебные заведения).

В 2006 г. в аналогичном исследовании InfoWatch доли государственных и негосударственных организаций составляли соответственно 34 и 66%. В 2007-м доля государственных органов уменьшилась до 22%. Поскольку нет информации, позволяющей предположить, что изменилась политика обнародования утечек, остается сделать вывод, что принятые меры защиты в госорганах дали больший эффект.

Внедрить меры защиты в государственной структуре в среднем несколько легче, поскольку проще обойти законодательные ограничения (имеется в виду действующий почти во всех странах запрет на перлюстрацию сообщений, передаваемых по линиям связи). Вопрос о том, как обойти этот запрет, решается в разных странах поразному. Следует констатировать, что у государственной службы таких возможностей несколько больше.

Другая причина снижения доли «госсектора» в утечках связана с тем, что проблема защиты персональных данных стала популярной. Внимание общественности и СМИ привлекают не только действительно опасные утечки персональных данных (а эти данные обычно обрабатываются государственными органами); стало модным поднимать шум по поводу доступности любых персональных данных, даже тех, утечка которых не может нанести ущерба. Круг организаций, обрабатывающих такие данные, более широк, и это в основном негосударственные структуры.

Следует отметить, что довольно велика доля учебных заведений. С одной стороны, у них нет сильного коммерческого стимула защищать информацию о клиентах (в данном случае студентах), с другой стороны, дисциплина сотрудников, очевидно, ниже, чем на государственной службе. Оба этих фактора не позволяют рассчитывать на то, что доля инцидентов в вузах в ближайшие годы станет несущественной.

Аналитики InfoWatch полагают, что в ближайшие три года следует ожидать роста абсолютного количества инцидентов, связанных с утечками. А доля «государственных» виновников таких инцидентов будет медленно снижаться, в основном за счет роста общего числа организаций, обрабатывающих персональные данные. Степень же защищенности от утечек в государственном и негосударственном секторах сейчас не слишком различается и не будет сильно различаться впредь.

Природа утечек

Проанализировав распределение утечек по типу информации, мы получили, что подавляющее их большинство (93%) — это утечки персональных данных. Еще 6% приходится на коммерческую тайну и ноу-хау (секрет производства); эти данные объединены в одну категорию, поскольку в большинстве стран это одно и то же (в России ноу-хау формально относится к интеллектуальной собственности, но это новация в законодательстве). Тем более подобные юридические нюансы невозможно различить при анализе сообщений СМИ. В категорию «другое» (1%) попала государственная тайна, а также случаи, когда тип информации неизвестен.

В 2006 г. в аналогичном исследовании InfoWatch доля персональных данных была ниже — 81% против 93% в 2007 г. По нашему мнению, эта разница превышает статистическую погрешность и отражает реальное увеличение числа инцидентов с персональными данными. Ценность персональных данных год от года растет; по мере «виртуализации» экономики и развития электронного бизнеса появляется все больше возможностей для мошенничества с использованием чужих персональных данных (identity theft). Следовательно, развивается спрос на такие данные, что и влечет за собой увеличение числа утечек. Ценность же другой конфиденциальной информации (гостайна, ноу-хау, коммерческая тайна) если и растет, то не так быстро, как персональных данных.

В ближайшем будущем ожидается дальнейший рост стоимости персональных данных. Но число связанных с ними инцидентов вряд ли еще вырастет, поскольку во всех странах вводятся меры по усилению контроля и защиты персональных данных.

Каналы утечек

Для разработки технических и организационно-технических средств защиты от утечек очень важно знать подробности о каналах, по которым несанкционированно передается информация. На рис. 2 представлено распределение утечек по типу носителя, который использовался для перемещения информации за пределы информационной системы.

По сравнению с 2006 г. доля мобильных устройств сократилась (39% против 50% в прошлом году), а доля сетевых каналов, наоборот, возросла (25% против 12%). Доли прочих типов носителей отличаются в пределах статистической погрешности, можно считать, что они не изменились. Соответственно с ростом числа утечек через Интернет возрастает актуальность систем для предотвращения онлайновых утечек информации.

Обращает на себя внимание почти полное отсутствие утечек по электронной почте (зафиксирован всего один случай), хотя, казалось бы, этот канал — самый доступный и удобный. Но дело в том, что он удобен не только для нелегальной передачи информации, но и для контроля. Наряду с серьезными системами защиты от инсайдеров на рынке встречается много примитивных, а то и вовсе шарлатанских средств. Как правило, они ориентированы на электронную почту — ее проще всего перлюстрировать или архивировать. Поэтому злоумышленники, очевидно, опасаются передавать похищенную информацию по этому каналу. Случайно же отправить по электронной почте конфиденциальные данные весьма затруднительно.

Таким образом, при создании и внедрении средств защиты от утечек следует учитывать, какие каналы (носители) наиболее популярны.

Если подсчитать аналогичную статистику отдельно для случаев умышленных и неумышленных утечек (рис. 3), становится видно, что мобильные носители и сетевые каналы более характерны для случайных утечек, без злого умысла. Чаще всего утечки связаны со случайной кражей ноутбука (без цели похищения данных) или случайным предоставлением общего доступа к файлу. Для случаев намеренной кражи конфиденциальных данных более типично похищение стационарного компьютера или жесткого диска из него (категория «другое»); довольно в большом числе случаев (35%) канал утечки остается неизвестным.

При введении на предприятии системы защиты от утечек разница между статистикой «умышленных» и «неумышленных» случаев будет играть важную роль. Например, при постановке на контроль онлайнового интернет-трафика (27% случайных инцидентов и 18% умышленных) система сможет предотвратить в первом случае все 27%, а во втором — гораздо меньше 18%. Злоумышленник действует разумно и, как правило, знает о системе контроля. Поэтому он постарается воспользоваться иным каналом — тем, который не контролируется. Поскольку эксплуатировать указанные системы тайно вряд ли возможно, эффективность предотвращения умышленных инцидентов будет ниже.

Разделение инцидентов на умышленные и неумышленные можно провести достаточно четко. Некоторую трудность вызывают лишь случаи кражи компьютеров. Поскольку мы рассматриваем утечки информации, то разделение основано на следующих соображениях: если вор имел умысел на похищение данных, то утечка считается умышленной. Если же умысел был направлен на компьютер как дорогостоящую технику, то утечка данных считается непреднамеренной, происшедшей в силу случайности или беспечности. К счастью, в сообщениях прессы почти всегда имеются если и не точные данные, то обоснованное предположение о целях похитителей.

По результатам исследования причин утечки в прошлом году умышленные инциденты составили 29%, случайные (беспечность, пренебрежение правилами) — 71%. В предыдущем исследовании соотношение было практически таким же: 23 против 77% (разницу можно объяснить статистической флуктуацией). Мы не усматриваем никаких причин, по которым соотношение между причинами утечек могло существенно измениться.

Видно, что даже не борясь со внутренними злоумышленниками, а исключая лишь инциденты, обусловленные случайностью или беспечностью персонала, можно на 3/4 снизить число инцидентов, а значит, и соответствующие издержки. Для многих организаций только исключение ненамеренных утечек уже оправдывает затраты на соответствующую техническую систему.

Латентность

Большинство случаев, попадающих в прессу, относятся к утечкам при передаче, перевозке или пересылке данных — то есть когда два или больше субъектов стараются переложить ответственность друг на друга. Довольно велика и доля эпизодов, когда утечка очевидна посторонним: например, ее обнаружили клиенты компании или конфиденциальная информация была проиндексирована поисковыми системами. Очень мало зафиксировано случаев обнаружения утечки данных изнутри организаций. Очевидно, что такой инцидент все стремятся скрыть, а когда в него не замешаны посторонние, сделать это легче. В некоторых странах предприятия обязаны сообщать об утечках, даже если вредные последствия этого нельзя считать неизбежными. Тем не менее скрыть утечку все равно возможно.

Вывод: значительная часть утеч ек конфиденциальной информации скрывается, особенно когда в деле участвует только одна организация. Статистика по таким случаям, скорее всего, нерепрезентативна.

Тенденции

Ниже перечислены выявленные тенденции рынка Information Leakage Detection and Prevention (ILDP).

Отсутствие стандартов и единого подхода

Следует отметить, что, хотя средства защиты от утечек поставляются многими фирмами, до сих пор не сформировались единые стандарты такой защиты: ни на уровне писаных стандартов, ни на уровне обычаев делового оборота. Среди потребителей ILDP-решений также не отмечается единства технических требований. Впрочем, для аналогичных систем защиты (от вирусов и от спама) формирование подобных стандартов и традиций заняло несколько лет.

Неэффективность чисто технических решений

Каждая задача должна решаться адекватными методами. Поскольку утечки конфиденциальной информации — проблема социально-экономическая, то и средства ее решения должны быть такими же. Применение различных технических средств возможно, но лишь в качестве инструментов для проведения той или иной организационной политики. Решение проблемы исключительно техническими средствами попросту не имеет смысла — на каждое техническое средство непременно найдется контрсредство.

Кроме того, проблема осложняется юридическими аспектами. Тайна корреспонденции и тайна частной жизни защищаются законом во всех странах. Во многих странах (в том числе в России) эти права неотчуждаемы, т. е. отказ от них будет недействителен. Организовать защиту от утечек таким образом, чтобы она не вступала в конфликт с местным законодательством, непросто. Для этого над проектом должны работать не только инженеры, но и юристы, причем начиная с самых ранних этапов.

Тем не менее многие из имеющихся на рынке продуктов представляют собой лобовое техническое решение и предусматривают по сути обычную перлюстрацию или фильтрацию трафика, пересекающего защищаемый периметр сети. Разумеется, такие примитивные решения, во-первых, преодолеваются как злоумышленниками, так и лояльными работниками. Во-вторых, они обычно связаны с нарушением конституционных прав работников и, следовательно, влекут за собой дополнительные правовые риски для предприятия. В-третьих, чисто технические решения вызывают недовольство и снижение лояльности работников; вред от этого может перевесить пользу.

Организационные, финансовые и правовые вопросы можно решить только в том случае, когда защита от утечек начинается с них, когда проект разрабатывают не «технари», а соответствующие специалисты. А техническая часть проекта при этом вторична (если она вообще нужна).

Отсутствие комплексного подхода

Необходимо отметить, что производители средств противодействия утечкам почти не применяют комплексный подход. Как правило, предлагаемые средства контролируют только один канал (реже два): чаще всего это электронная почта или Web-трафик. Если контроль одного или двух каналов приносит хоть какую-то пользу в борьбе с ненамеренными утечками, то против злоумышленников такие меры совершенно бесполезны.

Интеграция средств защиты

На первый взгляд, интеграция решений для защиты от утечек в коммуникационную технику и ПО должна быть выгодна. Тем не менее ни одного интегрированного решения до сих пор не выпущено. Максимум, чего достигли производители, — это программный интерфейс для подключения средств защиты (в том числе защиты от утечек). Но и такие интерфейсы пока редкость в межсетевых экранах, маршрутизаторах, точках доступа и т. д.

Тем не менее производители активно продвигаются в этом направлении. Имели место приобретения некоторых компаний — производителей средств ILDP с целью использовать их решения в продуктах общего назначения.

Вряд ли в ближайшие годы можно ожидать полной интеграции. Аналогичные средства защиты — антивирусное ПО и системы антиспама — так и не интегрировались окончательно в почтовые системы и ОС.

Прогнозы на год 2008-й

В мире

  • Будет расти как число утечек, так и доля тех из них, сведения о которых были обнародованы.
  • Средства защиты от утечек/инсайдеров начнут интегрировать в СЗИ, хотя большая их часть по-прежнему будет выпускаться в виде отдельных устройств/программ.
  • Владельцы поисковых систем задумаются о том, как предотвратить их использование для поиска конфиденциальной информации и персональных данных.

В России

  • Начнется сертификация средств защиты персональных данных.
  • Закон «О персональных данных» так и не начнет работать.
  • Российские персональные данные по-прежнему не будут приносить существенного дохода.

Основные итоги

  • Число инцидентов утечки продолжает расти.
  • Персональные данные дорожают.
  • Начали формироваться стандарты реагирования на утечки.
  • Чисто технические средства защиты неэффективны.

По материалам компании InfoWatch.