Процесс защиты неструктурированных данных состоит из мер и методов, направленных на обеспечение безопасности информации, которая не организована в стандартные базы данных и таблицы. Под неструктурированными данными понимаются текстовые документы, видео, аудиозаписи, изображения, сообщения электронной почты и другие формы информации, не поддающиеся лёгкому упорядочиванию или классификации посредством традиционных методов.

В качестве основных средств защиты неструктурированных данных обычно рассматриваются: шифрование, управление доступом, резервное копирование и восстановление, мониторинг и анализ, классификация, политики безопасности и обучение персонала. Также выделяют отдельный класс СЗИ, который нацелен на защиту неструктурированных данных – DAG или DCAP.

Редакция CISOCLUB пообщалась с экспертами отрасли, чтобы выяснить, какие основные типы неструктурированных данных встречаются в корпоративной среде, какие меры необходимо предпринимать для их защиты, особенности этой защиты, как решать проблему конфликта между удобством и безопасностью при работе с файлами и многое другое.

На наши вопросы ответили:

• Иван Дудоров, руководитель группы поддержки продаж Cyberpeak.
• Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ».
• Алиса Фирсова, младший инженер отдела внедрения инфраструктурных средств защиты информации Cloud Networks.
• Роман Подкопаев, генеральный директор Makves (входит в группу компаний «Гарда»).
• Людмила Севастьянова, эксперт центра продуктов Solar inRights ГК «Солар».
• Владимир Ульянов, руководитель аналитического центра компании Zecurion.
• Василий Степаненко, генеральный директор облачного провайдера «НУБЕС» (Nubes).
• Кирилл Лукьянов, руководитель отдела защиты систем и сервисов iTPROTECT.
• Андрей Шабалин, аналитик по информационной безопасности NGR Softlab.

Какие основные типы неструктурированных данных встречаются в корпоративной среде?

Иван Дудоров, руководитель группы поддержки продаж Cyberpeak:

«Неструктурированные данные – это, по сути, любая информация, которая создаётся и используется пользователями при повседневной работе, а затем выкладывается на хранилища данных для организации совместного доступа. В отличие структурированных данных, хранящихся в базах данных, такая информация располагается в обычных каталогах на файловых серверах, СХД, облачных хранилищах, репозиториях и платформах совместного доступа в виде самостоятельных объектов – файлов, записей и пр. При этом места хранения и структура расположения выбираются не сколько администратором, сколько самим пользователем на его личное усмотрение с учётом уровня его привилегий. Таким образом и формируются хранилища неструктурированных данных, в которых почти невозможно разобраться сотрудникам ИТ и ИБ без вспомогательных инструментов.

Если же говорить о конкретных примерах, то самими распространёнными неструктурированными данными в корпоративной среде будут обычные документы – договоры, сканы, презентации, сводные таблицы и даже выгрузки из баз. К этому списку можно добавить специфическую для области деятельности компании информацию – у нефтегазового сектора этим может быть геологоразведка, у промышленных организаций – чертежи изделий, у финансового сектора – расчётные таблицы, у медийных организаций – фото, видео и дизайн-документы. Плюс каждая компания обрабатывает персональные данные как минимум своих сотрудников, не говоря уже о данных подрядчиков и клиентов. Всё это нужно где-то хранить и каким-то образом обеспечивать совместный доступ, но структура баз данных не позволяет быстро и удобно работать с настолько непересекающимися форматами информации, из-за чего они и хранятся чаще всего на обычных файловых хранилищах и называются неструктурированными».

Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ»:

«В корпоративной среде могут встречаться абсолютно любые данные. Но подвергать защите нужно самые частые и «осмысленные» – документы. Под ними я понимаю не только текстовые файлы в различных форматах, но и сканы, фотографии и всё, что по смыслу и содержанию можно назвать документом.

В абсолютном меньшинстве – все остальные типы данных, например, бинарные. Они практически не контролируются, так как не несут в себе какую-то чувствительную информацию».

Алиса Фирсова, младший инженер отдела внедрения инфраструктурных средств защиты информации Cloud Networks: «Основными типами неструктурированных данных могут выступать:

1. Текстовые документы. В первую очередь, они содержат письменный контент и могут включать в себя такие элементы, как текст, таблицы и изображения.
2. Электронные письма. Как вид электронной коммуникации электронные письма часто содержат неструктурированные текстовые данные и различные файловые вложения: изображения, документы или электронные таблицы.
3. Изображения. В этих файлах хранится визуальная информация, для их анализа и извлечения из них данных требуются более специализированные методики обработки, например, компьютерное зрение.
4. Аудиофайлы. Эти файлы содержат звуковую информацию, для извлечения из которой значимых выводов требуются методики обработки аудио.
5. Видеофайлы. Для анализа видео требуется совместное использование методик компьютерного зрения и обработки аудио, потому что часто они содержат визуальную и звуковую информацию.
6. Файлы журналов. Файлы журналов (логов), генерируемые различными системами или приложениями, обычно содержат неструктурированные данные, из которых можно извлечь информацию о показателях системы, безопасности и поведении пользователей.
7. Показания датчиков. Информация от датчиков, встроенных в носимые, промышленные и другие IoT-устройства, тоже может быть неструктурированной.

Это лишь некоторые из примеров форматов неструктурированных данных. С развитием информационных технологий данных могут возникать новые форматы, а уже имеющиеся форматы могут адаптироваться для включения в них новых неструктурированных типов данных.

Угроза может исходить от внутреннего и внешнего злоумышленника. К первому из этих двух типов угроз относятся утечки данных и несанкционированный доступ, ко второму — кража данных с целью получить финансовую выгоду или навредить компании».

Роман Подкопаев, генеральный директор Makves:

«В инфраструктуре любой компании обращается большое количество файлов и документов. По оценкам компании Gartner, от 80 до 90% всех этих корпоративных файлов составляют неструктурированные данные. Это могут быть текстовые документы, таблицы, почтовые файлы в формате EML и PST, изображения, видео и аудиофайлы. В эту категорию также относят данные, созданные машинами: журналы событий, данные GPS, результаты работы устройств из интернета вещей (IoT) и другая телеметрическая информация.

Неструктурированные данные имеют важную особенность: в связи с их многообразием и стремительным ростом количества сложно выявить информацию, которая является критичной для бизнеса и требует особого внимания и защиты».

Людмила Севастьянова, эксперт центра продуктов Solar inRights ГК «Солар»:

«Большая часть информационных активов организации хранится и обрабатывается в неструктурированном виде – это данные в различных форматах, их хранение в большинстве случаев не упорядочено, не соответствует каким-либо моделям и структурам данных. Основной и наиболее часто встречающийся тип таких данных – это текст, который содержится документах, презентациях, сообщениях электронной почты, изображениях различных графических форматов и т.д. Среди этого массива данных нас в первую очередь интересует информация, которая является критичной и представляет ценность для организации. В зависимости от отраслевой принадлежности это могут быть:

• личные данные физических лиц – паспортные данные, ИНН, СНИЛС, в том числе их отсканированные копии;
• официальные реквизиты физических и юридических лиц;
• полные немаскированные номера платежных карт и счетов;
• прочая информация, попадающая под категории коммерческой и, например, банковской тайны.

По прогнозам исследовательской компании ITC, которая собирает информацию по разным регионам мира, объем неструктурированных данных к 2025 году вырастет до 175 зеттабайт (зета = 1021). Значительная часть неструктурированных данных – это информация конфиденциального характера, и это сопряжено с различными рисками».

Василий Степаненко, генеральный директор облачного провайдера «НУБЕС» (Nubes):

«Учитывая степень развития коммуникационных каналов, сегодня в рабочих процессах можно встретить все типы неструктурированных данных. Они могут быть представлены в виде текстов, электронной переписки в почте или мессенджере, изображений, аудио- и видеозаписей, и множества других форм. Принципиальное отличие неструктурированных данных, которые генерирует человек в повседневной жизни, от аналогичных корпоративных данных не в их форме, а в содержании.

Корпоративные данные – это огромный массив ценной информации, управление которой, а в особенности обеспечение безопасности, требует значительных сил и средств».

Какие организационные меры необходимо предпринимать для защиты неструктурированных данных?

Алиса Фирсова, младший инженер отдела внедрения инфраструктурных средств защиты информации Cloud Networks:

«Правильное управление неструктурированными данными не только повышает киберустойчивость, но и позволяет более эффективно работать с имеющимися объемами информации, снижая издержки и улучшая бизнес-процессы.

Если компания стремится к созданию устойчивой и безопасной информационной среды, важно проверить соблюдаются ли основные правила и принципы работы с неструктурированными данными:

1. Регулярно организовывать аудит всех информационных ресурсов компании.
2. Осуществлять классификацию данных для выявления чувствительной и критически важной информации.
3. Осуществлять мониторинг прав доступа пользователей к данным и действиям с этими данными.
4. Использовать двухфакторную аутентификацию пользователей.
5. Обеспечивать шифрованную передачу данных.
6. Подключать бизнес владельцев к процессу согласования, чтобы они видели текущие права к каталогам и понимали, кто получает к ним доступ.
7. Выделять места хранения критичной информации, задавать политики хранения и распространения данной информации. Реагировать на инциденты, если эти политики нарушились.
8. Использовать ПО для автоматизации вышеназванных процессов».

Алексей Парфентьев, руководитель отдела аналитики «СёрчИнформ»: «Сегодня нельзя использовать организационные меры отдельно от технических. Это связано с простотой доступа к хранилищам данных и самими данными, которых стало значительно больше.

То есть всегда найдется сотрудник, который не будет соблюдать организационные меры: категоризировать и обрабатывать данные только в положенных местах, а будет использовать, например, личные облачные хранилища. В таком случае даже самые эффективные организационные меры не будут применимы на практике без использования технических средств.

Например, облачное хранилище OneDrive встроено прямо в ОС. Оно по умолчанию закреплено в панели быстрого доступа и всегда на виду. Перемещение в него – дело одного клика. Для компании же этот клик может обернуться многомиллионным штрафом».

Иван Дудоров, руководитель группы поддержки продаж Cyberpeak: «Когда мы говорим об организационных моментах, первое, чему необходимо уделить внимание, – это формализация и стандартизация процессов защиты, в том числе с целью выполнения требований законодательства или сертификации организации. Другими словами, необходимо проработать, внедрить и проконтролировать исполнение подходов к защите неструктурированной информации не только «на бумаге», но и в реальной инфраструктуре. В частности, необходимо утвердить методы разделения доступа к информации, что на практике означает необходимость сформировать базовою матрицу доступа, которая будет применяться ко всем файловым ресурсам с неструктурированными данными, а также избавиться от любых несоответствий, таких как «сломанное наследование», излишние привилегии у пользователей, глубоко расположенные каталоги с уникальными разрешениями и т. д.

С точки зрения законодательства стоит отметить необходимость выполнения 98-ФЗ о коммерческой тайне, в частности – статьи 10 и 11, касающиеся определения перечня КТ, ограничения и учёта доступа, ознакомления сотрудника с данным списком и создания ему условий для соблюдения режима работы с такими данными. То есть сотрудник, работая с документами конфиденциального характера, должен явно об этом знать, – что можно решить с помощью специальных средств маркировки документов.

Интересной организационной мерой можно также назвать необходимость взаимодействия отдела ИБ с бизнес-подразделениями компании для формирования списка неструктурированных данных, которые необходимо защищать. Как показывает практика, сотрудники ИБ при составлении такого списка часто опираются только на свой собственный опыт и на пожелания руководства. Но в реалии спектр защищаемых данных может оказаться куда шире – а кто, как не неродственные владельцы данных, может определить, что является критичным на случай утечки или неконтролируемого распространения информации? Поэтому хорошей практикой считается взаимодействие с бизнес-подразделениями с целью понять, что нужно в реальности защищать.

И конечно же не стоит забыть про необходимость проведения обучения сотрудников компании и организации последующих тестов в виде эмуляции распространенных методов атак – например, используя фишинговую рассылку: кликнувший на ссылку сотрудник должен будет пройти повторное обучение.

Также хорошей практикой считается проведение регулярных аудитов и пентестов для выявление слабых мест в инфраструктуре. Стоит отметить, что некоторые вендоры и поставщики решений предлагают такие процедуры на бесплатной основе, зачастую – даже в качестве альтернативы стандартного пилотного проекта, по результатам которого заказчик получает отчёт об обнаруженных уязвимостях и описанием методов по сокращению таких рисков».

Кирилл Лукьянов, руководитель отдела защиты систем и сервисов iTPROTECT:

«В первую очередь требуется структурировать данные, привести их хранение в удобный и понятный формат, чтобы минимизировать риски получения доступа к информации сотрудниками, в зоне ответственности которых эта информация не находится.

Реализовать подобное можно внедрением классов DCAP/DAG, данный класс решений способствует наведению порядка на файловых хранилищах. Под порядком понимается процесс анализа излишних доступов к файлам, уход от индивидуальной выдачи прав на учетную запись к групповой, очистка файлового хранилища от дубликатов файлов. Здесь важно грамотное управление, т.к. с течением времени новые доступы предоставляются, старые остаются или используются повторно. Часто в компаниях новых сотрудников добавляют в те же группы, что и предыдущего, вне зависимости от того, требуются ему эти доступа или нет».

Полный текст: CISOCLUB