На фоне перехода на удаленную работу выросло число утечек корпоративных данных с помощью фотографий или скриншотов экранов: на такие сливы приходится 35% от общего числа. Росту подобных инцидентов способствует, в частности, распространение систем защиты, которые делают невозможными другие способы кражи данных из компаний. По мнению экспертов, полностью защититься от подобных хищений невозможно, но разработки идут в направлении использования видеонаблюдения и индивидуальной маркировки документов.
“Ъ” ознакомился с исследованием компаний «Крок» и EveryTag, посвященным наиболее популярным каналам утечек данных от инсайдеров из финансового, промышленного сегментов, ритейла и IT. Из него следует, что большая часть (35%) утечек приходится на фотографирование и скриншоты экрана. Еще в 13% случаев инсайдеры делают физические копии документов. Только 30% утечек происходит через мессенджеры, e-mail и соцсети.
Передача физических копий документов и фотографирование стали заметными каналами утечек на фоне перехода компаний на удаленную работу, полагают в «Кроке». При этом 76% опрошенных организаций сообщили, что знают об утечках и пытаются расследовать их, 21% компаний говорят, что у них нет возможностей найти инсайдеров, а 17% признались, что даже не отслеживают подобные инциденты. Также 48% опрошенных уверены, что классические системы защиты от утечек (DLP-системы) не могут оградить конфиденциальные данные от фотографирования и передачи их физических копий.
Так, например, инсайдеры в одной из компаний добывающей отрасли, где была установлена DLP-система, сливали в Telegram-каналах документы, раскрывающие детали сделок по освоению месторождения, рассказали в EveryTag. Обнаружить одного из ключевых инсайдеров удалось путем симуляции утечки, пояснили в компании. В подобных случаях под видом важных разным сотрудникам рассылаются (или предоставляется доступ другим способом) разные сведения, уточнили в «Ростелеком-Соларе». И по тому, какая именно информация утекает, определяется инсайдер. Таким способом в 2008 году воспользовался Илон Маск для поиска источника инсайдерских утечек в Tesla Motors.
Более 30% умышленных утечек по вине персонала совершается с помощью фотографирования экранов на смартфоны или через скриншоты, подтверждает руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев.
Такой способ часто применяется в кредитно-финансовых организациях, уточняет руководитель блока защиты от утечек Infosecurity a Softline Company Анна Попова. По ее мнению, рост числа утечек через фото связан с тем, что компании внедряют средства защиты, которые препятствуют обычным способам передачи данных, будь то флешка или пересылка документов, на личную почту с рабочей.
Рост утечек путем фотографирования начали фиксировать еще в 2019 году, когда в финансовом секторе стали активно внедрять DLP, подтверждает гендиректор разработчика DeviceLock DLP Олеся Ярмоленко. По ее словам, полноценной защиты от таких утечек до сих пор нет, но разрабатываются решения, совмещающие DLP-системы и видеонаблюдение. Некоторые DLP умеют подключаться к фронтальным камерам компьютеров и ноутбуков и анализировать, когда фотографируется экран, говорит Анна Попова. Но систему можно обойти, отключив веб-камеру или спрятав корпус смартфона, признает эксперт.
Топ-менеджер одной из нефтегазовых компаний обнаружил конфиденциальный документ, утекший из компании,— файл сфотографировали на телефон и выложили в интернет, рассказывает заместитель гендиректора CorpSoft24 Михаил Папура. «Чтобы определить, кто из сотрудников стал источником утечки, мы предложили установить программу по скрытой маркировке документов»,— говорит он. Она модифицирует каждую копию документов для каждого пользователя, изменяя интервалы между буквами, словами и строками текста таким образом, что человеческий глаз не может увидеть различий, объяснил господин Папура. По его словам, при обнаружении утечки система просканирует файл и станет ясно, кто из сотрудников его скачивал.
Проблему фотографирования могут решить установка умной системы наблюдения и запрет на использование смартфонов на рабочем месте, полагает руководитель практики информационной безопасности Accenture в России Андрей Тимошенко. По его мнению, вскоре появятся решения, которые будут анализировать все, что попадает в объектив фронтальной камеры, и блокировать экран, если в зоне видимости будет камера.