Утечек конфиденциальной информации становится больше, требования к защите информации становятся жёстче. И это понятно: чем больше каналов обмена информацией в организации будет контролироваться, тем ниже риск внезапной утечки информации.
Российские организации стараются обеспечить защиту наиболее уязвимых каналов, таких как почта, мессенджеры, печать на принтере, копирование на съемные носители, файловые хранилища и пр. Системы класса DLP давно научились контролировать эти каналы, как в режиме мониторинга, так и в режиме активного противодействия.
Но есть такой канал утечки, возможность полноценного контроля над которым вызывает сомнения и ряд вопросов. Речь пойдет про утечки конфиденциальной информации при фотографировании сотрудниками экранов рабочих станций.
Мотивы, побуждающие сотрудника сфотографировать экран на свой смартфон, могут быть разными.
Но, какой бы ни был мотив (преднамеренное действие или же халатное отношение к правилам ИБ), все приведенные ситуации являются утечкой, если на этих фотографиях содержится информация, считающаяся в организации конфиденциальной. Информация покинула закрытый контур и оказалась в непредназначенном для неё месте хранения, вне зоны действия DLP и других корпоративных средств защиты информации. Личный смартфон может быть потерян, украден, передан в ремонт, и конфиденциальная информация с него окажется в руках третьих лиц, которые смогут оценить её и передать настоящим злоумышленникам, которые в свою очередь нанесут организации финансовый либо репутационный ущерб (возможно, непоправимый). И именно случаи непреднамеренного вреда, а по сути, – разгильдяйства и грубого пренебрежения локально-нормативными актами (ЛНА), чаще всего являются причиной утечки и приносят организации убытки.
На рынке РФ представлены решения, которые пытаются идентифицировать попытки фотографирования экрана рабочей станции на смартфон и препятствуют им путём применения различных средств активного противодействия. Для того, чтобы система определила такую попытку, необходимо, чтобы в фокус установленной на рабочей станции веб-камеры попал смартфон в определённом ракурсе. В качестве примера приведен результат работы движка из нашего исследования (на фото – автор статьи ????). Технология распознала камеру смартфона (на 95% движок считает, что это камера телефона), а также определила положение рук и пальцев, характерное для фотографирования экрана.
Рисунок 1. Распознавание попытки сфотографировать экран рабочей станции
Раз система может определить попытку фотографирования экрана рабочей станции, значит, может и включить противодействие: например, вывести на экране рабочей станции предупреждение сотруднику или вообще заблокировать учетную запись, ну или погасить экран. Идея интересная. Но, как быть в ситуациях, если:
Отдельно стоит отметить возможные ложноположительные срабатывания. Бывают ситуации, когда сотруднику необходимо часто сидеть со смартфоном у экрана рабочей станции (например, оперативно ответить в мессенджере клиенту или начальнику). И технология «Анти-фото» засекает эту ситуацию и по настроенным правилам активного режима ее предотвращает.
Рисунок 3. Технология зафиксировала попытку съемки экрана
Рисунок 4. Технология считает, что сотрудник пытается сфотографировать экран
Что происходит дальше? Сотрудник в испуге начинает звонить в службу ИТ с вопросом «почему экран ноутбука погас (как один из вариантов реакции системы в режиме активного противодействия)?». При этом сотрудники безопасности видят зафиксированное событие безопасности и начинают работу с нарушителем. На разборку этой ситуации тратится рабочее время нескольких сотрудников разных подразделений компании (ИТ, ИБ, нарушитель и руководитель нарушителя). И в результате разборки оказывается, что никакого нарушения не было (ну разве что из примера на фото выяснится разгильдяйство сотрудника, использующее рабочее время не по назначению).
Если посмотреть на эту ситуацию с другой стороны, то «Анти-фото» в активном режиме противодействия может стать отличной профилактикой для всех сотрудников в организации. В данной ситуации должно сработать сарафанное радио. Сотрудники будут понимать, что правила информационной безопасности представлены не только на бумаге (ЛНА, который сотрудники подписывали), но и соблюдение этих правил контролируется технически.
Помимо активного режима технологию «Анти-фото» можно применять в пассивном режиме – в режиме мониторинга. Мониторинг предполагает только фиксацию факта съемки экрана и передачу перехвата в DLP. Но при этом противодействия со стороны системы не будет.
Из всего вышесказанного о технологии «Анти-фото» как средстве защиты от утечки информации можно выделить следующие преимущества и недостатки.
Будет ли совершенствоваться и развиваться дальше технология «Анти-фото»? Предполагаю, что вендоры ИБ-решений и сотрудники ИБ-служб организаций придут к тому, что технологию стоит использовать в комплексе с другими (например, такими как водяные знаки). Ответ на этот вопрос покажет только время и релизы DLP-систем ведущих вендоров на рынке. Но об этом поговорим позже.
Российские организации стараются обеспечить защиту наиболее уязвимых каналов, таких как почта, мессенджеры, печать на принтере, копирование на съемные носители, файловые хранилища и пр. Системы класса DLP давно научились контролировать эти каналы, как в режиме мониторинга, так и в режиме активного противодействия.
Но есть такой канал утечки, возможность полноценного контроля над которым вызывает сомнения и ряд вопросов. Речь пойдет про утечки конфиденциальной информации при фотографировании сотрудниками экранов рабочих станций.
Мотивы, побуждающие сотрудника сфотографировать экран на свой смартфон, могут быть разными.
- Злой умысел. Злоумышленник долго вынашивает идею похищения информации, ищет покупателя, планирует и проводит преступление. А бывают и те, кто устраивается на работу в организацию именно с целью похищения конкретных конфиденциальных данных.
- Спонтанный порыв. Обида на начальство, приводящая к токсичным действиям сотрудника с целью «насолить».
Но, какой бы ни был мотив (преднамеренное действие или же халатное отношение к правилам ИБ), все приведенные ситуации являются утечкой, если на этих фотографиях содержится информация, считающаяся в организации конфиденциальной. Информация покинула закрытый контур и оказалась в непредназначенном для неё месте хранения, вне зоны действия DLP и других корпоративных средств защиты информации. Личный смартфон может быть потерян, украден, передан в ремонт, и конфиденциальная информация с него окажется в руках третьих лиц, которые смогут оценить её и передать настоящим злоумышленникам, которые в свою очередь нанесут организации финансовый либо репутационный ущерб (возможно, непоправимый). И именно случаи непреднамеренного вреда, а по сути, – разгильдяйства и грубого пренебрежения локально-нормативными актами (ЛНА), чаще всего являются причиной утечки и приносят организации убытки.
На рынке РФ представлены решения, которые пытаются идентифицировать попытки фотографирования экрана рабочей станции на смартфон и препятствуют им путём применения различных средств активного противодействия. Для того, чтобы система определила такую попытку, необходимо, чтобы в фокус установленной на рабочей станции веб-камеры попал смартфон в определённом ракурсе. В качестве примера приведен результат работы движка из нашего исследования (на фото – автор статьи ????). Технология распознала камеру смартфона (на 95% движок считает, что это камера телефона), а также определила положение рук и пальцев, характерное для фотографирования экрана.
Рисунок 1. Распознавание попытки сфотографировать экран рабочей станции
Раз система может определить попытку фотографирования экрана рабочей станции, значит, может и включить противодействие: например, вывести на экране рабочей станции предупреждение сотруднику или вообще заблокировать учетную запись, ну или погасить экран. Идея интересная. Но, как быть в ситуациях, если:
- Веб-камера закрыта «шторкой» или отключена. Безусловно, можно в компании регламентировать на уровне локально-нормативных актов запрет на отключение веб-камер либо препятствования их работе. Но такой запрет безусловно соблюдать сложно: фокус камеры можно «случайно» прикрыть на несколько секунд либо отключить камеру, сославшись на «технические проблемы» – выпавший провод USB, например (если камера внешняя).
В некоторых случаях можно не ограничиваться локально-нормативными актами и подойти к решению еще более жестко: организовать контроль открытых веб-камер на техническом уровне и не допускать запуск каких-то приложений, пока веб-камера выключена. Но такой подход непосредственно повлияет как на основные бизнес-процессы организации, так и на внутренний микроклимат в компании и, конечно, нежелателен. Не каждая организация готова будет пойти на такую меру. - Веб-камера отсутствует. Для некоторых организаций это совсем не редкость. Есть заказчики, у которых примерно треть сотрудников работает на стационарных компьютерах и с отсутствующей веб-камерой.
- Камера смартфона не попала в обзор веб-камеры. Сотрудник фотографирует со стороны, под определенным углом. Получается этакий лакомый кусочек для злоумышленника, требующий особого внимания. Локально-нормативный акт не нарушен, факт нарушения отсутствует.
Отдельно стоит отметить возможные ложноположительные срабатывания. Бывают ситуации, когда сотруднику необходимо часто сидеть со смартфоном у экрана рабочей станции (например, оперативно ответить в мессенджере клиенту или начальнику). И технология «Анти-фото» засекает эту ситуацию и по настроенным правилам активного режима ее предотвращает.
Рисунок 3. Технология зафиксировала попытку съемки экрана
Рисунок 4. Технология считает, что сотрудник пытается сфотографировать экран
Что происходит дальше? Сотрудник в испуге начинает звонить в службу ИТ с вопросом «почему экран ноутбука погас (как один из вариантов реакции системы в режиме активного противодействия)?». При этом сотрудники безопасности видят зафиксированное событие безопасности и начинают работу с нарушителем. На разборку этой ситуации тратится рабочее время нескольких сотрудников разных подразделений компании (ИТ, ИБ, нарушитель и руководитель нарушителя). И в результате разборки оказывается, что никакого нарушения не было (ну разве что из примера на фото выяснится разгильдяйство сотрудника, использующее рабочее время не по назначению).
Если посмотреть на эту ситуацию с другой стороны, то «Анти-фото» в активном режиме противодействия может стать отличной профилактикой для всех сотрудников в организации. В данной ситуации должно сработать сарафанное радио. Сотрудники будут понимать, что правила информационной безопасности представлены не только на бумаге (ЛНА, который сотрудники подписывали), но и соблюдение этих правил контролируется технически.
Помимо активного режима технологию «Анти-фото» можно применять в пассивном режиме – в режиме мониторинга. Мониторинг предполагает только фиксацию факта съемки экрана и передачу перехвата в DLP. Но при этом противодействия со стороны системы не будет.
Из всего вышесказанного о технологии «Анти-фото» как средстве защиты от утечки информации можно выделить следующие преимущества и недостатки.
Выводы
Несмотря на то, что на рынке представлены решения, выявляющие и противодействующие попыткам фотографирования экранов рабочих станций, на текущий момент массового применения организациями эти технологии не получили. Анализируя все плюсы и минусы технологии, мы видим, что количество недостатков и ограничений превалирует над его возможностями, складывается впечатление, что данный инструмент выглядит больше маркетинговой фишкой нежели реальным инструментом для практического использования. Но всё же часть потенциальных утечек данная технология сможет предотвратить.Будет ли совершенствоваться и развиваться дальше технология «Анти-фото»? Предполагаю, что вендоры ИБ-решений и сотрудники ИБ-служб организаций придут к тому, что технологию стоит использовать в комплексе с другими (например, такими как водяные знаки). Ответ на этот вопрос покажет только время и релизы DLP-систем ведущих вендоров на рынке. Но об этом поговорим позже.
Для просмотра ссылки необходимо нажать
Вход или Регистрация