Коммерческий профайлинг в DLP-системах



В статье рассматриваются вопросы совместного использования DLP и профайлинга для обеспечения информационной безопасности предприятий. В статье исследуется перспективы использования существующих механизмов DLP-систем для решения задач коммерческого профайлинга.

Ключевые слова: DLP-системы, профайлинг, информационная безопасность, защита персональных данных, политика информационной безопасности, защита конфиденциальной информации.

В условиях рыночной экономики у современных предприятий появилась необходимость в защите разного рода информации — базы клиентов и поставщиков, разработок, бизнес-информации, ноу-хау и др. Эта информация находится под угрозой, как со стороны конкурентов, так и со стороны недобросовестных сотрудников.

Такие распространенные средства обеспечения информационной безопасности, как системы обнаружения атак, антивирусы, межсетевые экраны, выполняют функции защиты данных от внешних угроз, но не обеспечивают защиту информационных ресурсов от утечки, искажения или уничтожения внутренним злоумышленником. [4]

Проблема защиты конфиденциальных данных для предприятий очень актуальна на сегодняшний день. По данным аналитиков, изучающих внутренние угрозы:

– внутренние угрозы по-прежнему беспокоят организации значительно больше внешних угроз. Наибольшие опасения вызывают угрозы утечки информации (73 %) и халатность служащих (70 %);

– в последнее время увеличилось распространение систем защиты от инсайдерских угроз;

– в подавляющем большинстве случаев нарушители внутренней безопасности не несут практически никакой ответственности. [4]

Для защиты конфиденциальной информации на предприятиях возможно использование DLP-систем. DLP (Data Leak Prevention) переводится с английского языка как «предотвращение утечек информации». В настоящее время DLP-системы могут осуществлять защиту данных во время ее использования, передачи или хранения на основе централизованных политик.

Профайлинг

Первоначальное значение профайлинга относится к составлению психологических портретов преступников. В настоящее время значение слова расширилось и к видам профайлинга относят:

1. Коммерческий профайлинг
2. Кадровый профайлинг
3. Семейный (бытовой) профайлинг
4. Криминологический профайлинг:
   1. профилактический:
      1. страховой профайлинг
      2. профайлинг на транспорте
      3. гостиничный профайлинг
   2. прогностический (профильное моделирование)
   3. типологический
   4. оперативно-розыскной
   5. судебно-следственный профайлинг
   6. виктимологический профайлинг (жертвы) и другие. [5]

Приведенные примеры говорят о разноплановости применения понятия профайлинга применительно к различным сферам жизнедеятельности.

Для различных целей оперативно-розыскной деятельности разработаны специализированные системы (ЛИСП «Монстр», «Насилие», «Досье» и др.), но эти системы не предназначены для целей защиты конфиденциальных данных или коммерческих целей профайлинга.

DLP-системы

Для решения проблемы защиты конфиденциальной информации от умышленных и случайных утечек DLP-системы используют программные и аппаратно-программные средства. Работа DLP-систем строится на анализе потоков данных в переделах периметра информационной защиты. В традиционных случаях DLP-системы при обнаружении конфиденциальной информации в исходящем потоке передачу сообщений блокируют.

Разработчики DLP-систем предлагают собственные архитектуры своих решений.

В целом различают следующие модули DLP-систем:

– перехватчики передачи информации;

– центральный управляющий сервер;

– агентские программы.

Перехватчики (контролеры) анализируют потоки информации, которая может быть выведена из периметра компании, обнаруживают конфиденциальные данные, классифицируют информацию и передают для обработки возможного инцидента на управляющий сервер. Для обнаружения хранимых данных контроллеры запускают процессы обнаружения конфиденциальной информации в ресурсах сети.

Агентские программы на рабочих станциях отслеживают конфиденциальные данные и следят за соблюдением установленных правил безопасности.

Центральный управляющий сервер сопоставляет поступающие от перехватчиков сведения и обычно предоставляет отчет о выполненных действиях.

Симбиоз DLP ипрофайлинга

Благодаря широким возможностям DLP-систем становится возможным использование технологий DLP для целей профайлинга. В первую очередь это касается коммерческого профайлинга, благодаря встроенным механизмам DLP-систем.

В DLP-системах используются следующие механизмы определения того, является ли информация конфиденциальной: контроль контекста; контроль содержания, шаблоны регулярных выражений, цифровые отпечатки. Анализ показывает, что контроль содержания для защиты от утечек больших массивов документов малоприменим. Контекстный контроль подходит для защиты от утечки файлов нетипичных для текстов форматов. В тех случаях, если к защищаемым файлам имеет доступ ограниченное число сотрудников, можно с успехом применять отслеживание отправителей и получателей. Современным средством защиты документов и баз данных большого объема остаются цифровые отпечатки, которые базируются на автоматическом создании экономных «хэш-идентификаторов» текстового содержания. [12]

Успешной реализации этой технологии могут помешать следующие факторы:

– интересная для злоумышленников информация может быть частью большого документа и будет передаваться только эта часть. На маленьких фрагментах метод цифровых отпечатков может не сработать;

– злоумышленник может заменить или добавить некоторые символы в тексте, что изменит цифровой отпечаток, но, тем не менее, позволит восстановить текст получателю;

– информация в документах или базах данных сильно меняется.

Для устранения этих недостатков можно использовать методы статистического контроля, лингвистические методы, методы контроля по шаблонам регулярных выражений. Лингвистические методы требуют наличия словаря и словоформ, что увеличит время проверки. Методы статистического контроля позволяют определить подмену букв по их частотному распределению. Статистический контроль можно использовать для контроля больших документов. Наиболее предпочтительной является проверка текста на основе методики использования шаблонов регулярных выражений. Такие шаблоны позволяют определить подмену на основе отслеживания нетипичных последовательностей букв и ключевых слов в языке.

Преимущества этого подхода:

– не требуются словари;

– есть возможность задать порог частоты срабатываний;

– может использоваться на сообщениях любых размеров;

– не требуется изучения частотного распределения букв в тексте;

– имеется возможность настройки шаблонов. [12]

Для обеспечения информационной безопасности предпочтительно привлекать специалистов-профайлеров, так как профайлинг представляет собой несколько этапов в обеспечении информационной безопасности: первичное наблюдение за потенциальным сотрудником или работником фирмы; проверка документов, с которыми работает сотрудник, при необходимости собеседование или разговор по подозрительным признакам; наблюдение за подозрительным сотрудником, а также взаимодействие с другими подразделениями и сотрудниками организации.

Для комплексного обеспечения информационной безопасности использование совместное использование профайлинга и DLP-систем значительно повысит уровень ИБ предприятий.

Сегодня ведущими производителями DLP-систем, которые представлены в нашей стране являются: InfoWatch, SolarSecurity, Zecurion, DeviceLock, SearchInform, МФИ Софт, Инфосистемы Джет, Lumension, Forcepoint (Websense), Symantec. [10]

Заключение

Профайлинг как психологический метод активно используется в разных сферах: бизнес-профайлинг, авиационный профайлинг, гостиничный профайлинг, кадровый профайлинг, криминальный профайлинг, семейный профайлинг, банковский профайлинг, и др. [11]

Профайлинг поможет выявить нарушителей информационной безопасности предприятия.

Совместное использование профайлинга и DLP-систем в информационной безопасности можно представить в виде дополнений или настроек функционала DLP-систем, которые усовершенствуют работу по прогнозированию поведения сотрудников.

Профайлинг, как часть системы информационной безопасности несомненно стоит развивать для обеспечения интересов информационной безопасности как отдельных предприятий, так и государства.

Литература:

1. Абрамов А. С., Писарев В. Д., Шилов А. К. Исследование отечественных DLP — систем; Аллея науки. 2017. Т. 3. № 13. С. 951–954.
2. Алексеев Д. М., Иваненко К. Н., Убирайло В. Н. DLP — системы как способ защиты данных от утечки; Новая наука: Теоретический и практический взгляд. 2016. № 10–2. С. 112–113.
3. Арпентьева М. Р. Профайлинг в обеспечении национальной безопасности России; Вестник БИСТ (Башкирского института социальных технологий). 2015. № 2 (27). С. 62–68.
4. Боридько И. С., Забелинский А. А., Коваленко Ю. И. Применение DLP-систем для защиты персональных данных; Безопасность информационных технологий. 2012. № 3. С. 20–24.
5. Дзиконская С. Г. Профайлинг как метод криминологической экспертизы; The Genesis of Genius. 2015. № 4–1. С. 134–137.
6. Лопатин А. Г., Бобров Н. В. Выработка рекомендаций по внедрению DLP-системы при реализации политики информационной безопасности предприятия; Вестник Международной академии системных исследований; Информатика, экология, экономика. 2016. Т. 18. № -1. С. 153–159.
7. Мавринская Т. В., Лошкарёв А. В., Чуракова Е. Н. DLP-системы и тайна личных переписок; Интерактивная наука. 2017. № 4 (14). С. 181–183.
8. Марцева Т. Г. Коммерческий профайлинг как технология управления; Общество и право. 2014. № 2 (48). С. 292–294.
9. Морозов В. Е., Дрозд А. В. Внедрение в содержание обучения специалистов в области информационной безопасности вопросов практического применения DLP-систем; Информационное противодействие угрозам терроризма. 2015. Т. 1. № 25. С. 277–285.
10. Хлестова Д. Р., Байрушин Ф. Т. Анализ российского рынка DLP-систем; Инновационное развитие. 2017. № 4 (9). С. 38–39.
11. Хлестова Д. Р., Байрушин Ф. Т. Профайлинг как перспективное направление в сфере информационной безопасности; Инновационное развитие. 2017. № 4 (9). С. 37–38.
12. Чуб В. С., Айдинян А. Р. Методика повышения эффективности DLP-систем для защиты конфиденциальной информации; Инновационная наука. 2017. Т. 3. № 4. С. 141–143.