В начале октября на Хабре обсуждалась утечка данных из «Сбербанка». Один из сотрудников банка продал информацию о тысячах или миллионах клиентов: ФИО, номер паспорта, номер карты, дата рождения, адрес и т. д.
Сама по себе новость рядовая: такую приватную информацию о клиентах продают сотрудники практически всех российских банков, операторов связи и госкомпаний. Но здесь база попала в открытый доступ, что случается не часто. Сотрудника уже вычислили (и, наверное, наказали). А вот кто подставил информатора и «Сбербанк», запустив информацию в масс-медиа, — отдельная тема.
Но что делать компаниям, как избежать таких утечек? Вероятно, нужно поднять зарплаты персонала (чтобы те не подрабатывали таким способом) и усилить над ними контроль. В «Сбербанке» используют DLP-систему InfoWatch. Тут она не помогла. Есть и другие системы, дополняющие DLP. Например, Microsoft предлагает платформу управления смартфонами сотрудников Intune.
Intune — это компонент пакета Microsoft Enterprise Mobility + Security (EMS), который управляет мобильными устройствами и приложениями. Он тесно интегрируется с другими компонентами EMS, такими как Azure Active Directory (Azure AD) для управления правами доступа и Azure Information Protection для защиты данных.
Вот некоторые функции Intune:
- Управление мобильными устройствами и компьютерами, которые используются для доступа к данным компании.
- Управление мобильными приложениями, которые запускают сотрудники.
- Защита корпоративной информации путём контроля способов доступа к ней сотрудников и совместного использования.
- Гарантия, что все устройства и приложения соответствуют требованиям безопасности.
На базе Intune удобно запускать так называемые «корпоративные телефоны» для раздачи персоналу. Например, что на территории офиса разрешить использовать только их или собственные устройства с аналогичным подключением к Intune и соответствующими ограничениями. Это сразу исключает несколько каналов утечки информации, описанной выше.
Intune позволяет удалённо запретить использование камеры на мобильном телефоне и ограничить список разрешённых приложений для установки и запуска.
Разумеется, такие же ограничения следует установить на планшетах, ноутбуках, настольных компьютерах и любых других устройствах, которыми пользуется сотрудник.
Какие способы у него остаются, чтобы скопировать информацию из базы данных, как у «Сбербанка»? Запись на флэшки запрещена или отслеживается.
Он может продиктовать информацию по телефону или скайпу голосом. Эту проблему закрывает DLP с распознаванием речи.
Можно скопировать информацию в разрешённое приложение и отправить её по открытым каналам. Например, зашифровать её, потом заархивировать в файл вроде dogovor.zip и отправить контрагенту якобы под видом приложения к договору. Вставить в метаданные файла pdf или jpg, спрятать в звуковой, графический или видеофайл методом стеганографии и выложить на открытый хостинг. Отслеживание таких вариантов — работа службы безопасности, у которой есть запись активности на мониторе каждого сотрудника через
Конечно, история Эдварда Сноудена показывает, что из самой охраняемой организации можно вынести секретную информацию, если очень захотеть, но для этого нужно иметь специальный допуск. Эдвард Сноуден использовал старый компьютер из архива якобы под видом ремонта (вероятно, на других компьютерах не было портов для записи флэшки) и кубик Рубика, куда спрятал карту microSD.
Система управления устройствами сотрудников в Intune работает с использованием протоколов или API, доступных в мобильных ОС. Она включает в себя такие задачи, как:
- Регистрация устройств в системе, так что все они видны для IT-отдела
- Настройка устройств для обеспечения их соответствия стандартам безопасности
- Предоставление сертификатов и профилей Wi-Fi/VPN для доступа к корпоративным службам
- Отчётность и проверка соответствия приборов корпоративным стандартам
- Удаление корпоративных данных с управляемых устройств
Поставщиком сертификатов для устройств является Azure Active Directory (Azure AD). Intune интегрируется с Azure AD для широкого набора сценариев управления доступом.
Управление мобильными приложениями (система MAM) включает назначение конкретным сотрудникам конкретных мобильных приложений, настройку приложений; управление использованием и общим доступом к корпоративным данным в мобильных приложениях; удаление корпоративных данных из мобильных приложений; обновление и т. д.
Что даёт интеграция с GlobalSign
С февраля 2019 года года GlobalSign поддерживает интеграцию с Intune и Microsoft Active Directory. Это значит, что устройства могут авторизоваться в корпоративной сети по сертификатам GlobalSign PKI. Так удобнее и для пользователей, и для системных администраторов, которые могут автоматически назначать сертификаты определённым группам пользователей, в зависимости от их прав доступа. У каждой группы — свой набор разрешённых ресурсов.
Автоматическое управление сертификатами и правами для каждой группы снижает риск таких утечек, как в случае со «Сбербанка». Хотя говорят, что там информацию продавал сам директор филиала, у которого по умолчанию были максимальные права. Что ж, если за рядовыми сотрудниками ещё можно следить с помощью систем вроде Intune и DLP, то от злоупотреблений начальства не спасёт даже самый продвинутый отдел безопасности, который сам подчиняется этому начальству.
