Zu Beginn meiner Karriere im Bereich Informationssicherheit hatte ich die Gelegenheit, an einem äußerst interessanten Projekt teilzunehmen. Es begann mit der Tatsache, dass der Sicherheitsdienst eines der größten privaten Produzenten und Lieferanten von Erdgas und Erdöl in der GUS im Rahmen eines integrierten Ansatzes zur Gewährleistung der Informationssicherheit beschlossen hat, ein DLP-System einzuführen. Jetzt ist diese Holding, die den allgemeinen Trends des russischen Marktes folgt, in den Eingeweiden mehrerer staatseigener Unternehmen verschwunden, und ich kann Ihnen diese Geschichte erzählen.
Zweck und Ziele des Projekts
Das Hauptziel des Projekts bestand darin, das Sicherheitsniveau der Geschäftsprozesse des Unternehmens durch die Einführung eines Systems zur Kontrolle des Informationsflusses zu erhöhen.
Projektaufgaben, die durch die Implementierung des DLP-Systems gelöst wurden:
- Überwachung und Verhinderung von Lecks außerhalb der Organisation vertraulicher Informationen: Geschäftsgeheimnisse, personenbezogene Daten, geistiges Eigentum usw.
- Bereitstellung von Tools für die Untersuchung von Vorfällen: Erstellung eines Archivs übermittelter Informationen mit der Möglichkeit einer anschließenden nachträglichen Suche.
- Rechtzeitige Identifizierung von Insidern: Überwachung verdächtiger Benutzeraktionen.
- Optimierung der Nutzung von Unternehmensinformationsressourcen: Unterdrückung der Nutzung von Ressourcen für persönliche Zwecke.
Projektansatz
Die Einführung eines DLP-Systems in einem geografisch verteilten Unternehmensnetzwerk der Holding war aus technischer und organisatorischer Sicht eine recht schwierige Aufgabe. Es musste berücksichtigt werden, dass das DLP-System für bestehende Unternehmensinformationssysteme absolut „transparent“ sein und nicht einmal die vorübergehende Blockierung oder Verlangsamung etablierter Geschäftsprozesse zulassen sollte. Darüber hinaus sollte die Implementierung von normalen Benutzern unbemerkt bleiben.
Daher wurde beschlossen, das DLP-System schrittweise in den Büros des Unternehmens einzuführen und seine Funktionalität schrittweise zu erhöhen.
Projektdurchführung
Phase 1: Überwachung und Archivierung von Unternehmens-E-Mails in der Zentrale
Inhalt
In der Zentrale der Holding wurde ein DLP-System installiert, bestehend aus:
- Modul zum Abrufen von Informationen mit einer Geschwindigkeit von 1 Gbit / s;
- Interaktionsmodul;
- Analysemodul;
- Informationsspeichermodul;
- AWP-Analyse.
Zusätzlich wurde ein spezielles Plugin auf dem Mail-Server des Unternehmens installiert.
Zusammen mit dem Sicherheitsdienst der Holding wurde unter Berücksichtigung der Besonderheiten des Geschäfts der Rubricator eingerichtet - ein hierarchischer Baum der erforderlichen Themen für die morphologische Analyse
Text. In Übereinstimmung mit der Sicherheitsrichtlinie des Unternehmens sowie dem lokalen Regulierungsgesetz für Geschäftsgeheimnisse und vertrauliche Informationen wurden die entsprechenden Regeln für die Suche und Analyse von Informationen in der Rubrik festgelegt.
In den ersten Betriebsmonaten wurde der Rubricator iterativ modifiziert und ergänzt, um die erforderliche Genauigkeit der erkannten kritischen Informationen zu erhalten. Parallel dazu wurde daran gearbeitet, Fehlerquoten der 1. und 2. Art zu erreichen, die den Kunden zufriedenstellten.
Ergebnisse
Es war möglich, die Zugänglichkeit einiger vertraulicher Dokumente für Mitarbeiter zu ermitteln, die formal keinen Zugriff darauf haben (Erkennung und Analyse von Dokumenten in Anhängen an E-Mails). Basierend auf den Ergebnissen der Untersuchung wurden einige Parameter der Sicherheitsrichtlinie für Unternehmensinformationen angepasst, um vertrauliche Dokumente zu speichern und den Zugriff darauf zu beschränken.
Stufe 2: Überwachung des FTP-Verkehrs
Inhalt
Dem DLP-System wurde ein Informationsdecodierungsmodul hinzugefügt.
Ergebnisse
- Die Tatsachen, vertrauliche Informationen auf FTP-Ressourcen von Unternehmen zu platzieren, die nicht dafür vorgesehen sind, wurden enthüllt.
- Die Duplizierung großer Informationsmengen (Fotos, Videos, Archive) wurde gleichzeitig auf mehreren Ressourcen entdeckt.
Die Berechtigung zum Posten von Informationen zu Netzwerkressourcen wurde angepasst. Die Netzwerkinfrastruktur wurde neu konfiguriert, um die Verdoppelung großer Informationsmengen zu vermeiden, wodurch der freie Speicherplatz im Datenspeichersystem optimiert wurde.
Stufe 3: Überwachung des Datenverkehrs über http
Inhalt
Das Plugin ist auf dem Proxy-Server des Unternehmens installiert, mit dem Sie das Abrufen und Veröffentlichen von Anforderungen sowie den "offenen" https-Verkehr steuern können. In Übereinstimmung mit den Aufgaben des Sicherheitsdienstes und der TOP-Verwaltung des Unternehmens ist der Rubricator so konfiguriert, dass er bestimmte Informationen überwacht.
Ergebnisse
- Die Menge an Informationen, die von den Mitarbeitern des Unternehmens angezeigt werden und nicht mit Arbeitsthemen (Blogs, Foren, Unterhaltungs- und Nachrichtenseiten) zusammenhängen, wurde geschätzt. Es wird der Schluss gezogen, dass der Prozentsatz dieses Verkehrs äußerst gering ist und innerhalb der zulässigen Norm liegt.
- Es wurde eine Reihe von Personen identifiziert, die regelmäßig im Internet eine große Menge an Informationen anzeigen, die formal nicht im Rahmen ihrer Kompetenzen und Interessen liegen. Mitarbeiter, die vom Sicherheitsdienst unter Kontrolle gebracht werden.
- Mitarbeiter gefunden, die an Informationen über Wettbewerber interessiert sind und Kompromisse in ihrem eigenen Unternehmen eingehen. Die erforderlichen Maßnahmen wurden in Bezug auf sie getroffen.
Stufe 4: Retrospektive Analyse des Archivs
Inhalt
Dem Produkt wurde ein Modul hinzugefügt, mit dem das gesamte akkumulierte Verkehrsarchiv erneut analysiert werden kann.
Ergebnisse
Im Rahmen der Umstrukturierung der Unternehmensgruppe wurden in einem bestimmten Zeitraum massive Reduzierungen, Versetzungen in neue Positionen und Funktionsänderungen der Mitarbeiter durchgeführt.
Ein neuer Rubricator wurde eingerichtet, der es ermöglichte, nach Informationen zu bestimmten Mitarbeitern zu suchen.
Eine vollständige retrospektive Analyse der gesammelten Informationen gemäß den neuen Suchregeln ermöglichte es, externe Interessen, illegitime Arbeitskontakte und andere verdächtige Tatsachen in der Arbeit von Mitarbeitern zu identifizieren, deren Reduzierung oder Verlagerung in eine andere Position geplant war.
Durch die ordnungsgemäße Verwendung der erhaltenen Informationen konnten wir einige Personalentscheidungen in die eine oder andere Richtung überprüfen und das Risiko negativer Folgen der Organisations- und Personalreform erheblich verringern.
Stufe 5: Implementierung des Systems in Remote-Büros
Inhalt
Die in der Zentrale nach dem Kalenderplan getesteten Lösungen wurden schrittweise in allen Gebietsbüros der Unternehmensgruppe eingeführt.
Ergebnisse
Dank der flexiblen Skalierungsfunktionen des DLP-Systems konnte es vollständig im gesamten Informations- und Telekommunikationsnetz des Kunden implementiert werden, zu dem 10 Remote-Büros, 160 juristische Personen und 4.500 Personen gehören.
Informationsabrufmodule wurden auf allen externen Kommunikationskanälen installiert, die in den Büros verfügbar sind. Das Systemmanagement wird von einem einzigen Überwachungs- und Kontrollzentrum in der Unternehmenszentrale aus implementiert. Wenn gleichzeitig die Verbindung zwischen den Büros unterbrochen wird, arbeitet das in der Remote-Einheit installierte System gemäß den angegebenen Richtlinien weiterhin autonom.
Zusammenfassung
Die Einführung des DLP-Systems in der Holding erhöhte das Sicherheitsniveau des Unternehmens und reduzierte die wirtschaftlichen, Reputations- und sonstigen Risiken erheblich, auch während einer umfassenden Umstrukturierung des Unternehmens.