BIS Journal №1(36)/2020

26 апреля, 2020

Фотограф экрана монитора уже не аноним

Популярный в 2019-2020 годах канал утечек теперь перекрываем.

В начале каждого года принято говорить либо о годе ушедшем, либо о прогнозах на предстоящий. В настоящей статье я, как представитель разработчика программного обеспечения в области информационной безопасности, компании Secret Technologies, хочу рассказать о проблеме, которую нам активно транслировали заказчики в 2019 году, и которая будет актуальна и в 2020 (как минимум). Эта проблема – фотографирование данных с экрана монитора.

Проблема широко известная и актуальная, ведь у практически любого сотрудника есть смартфон, а сделать фото – дело нескольких секунд, и про услуги «пробива» тоже наслышаны все. Инструментов, которые позволяют снизить этот риск, не так уж и много. Несмотря на то что работодатель вправе ограничить использование мобильных телефонов на рабочем месте, далеко не каждая компания пойдёт на такие запреты. И ввод соответствующих локальных нормативных актов не гарантирует, что они не будут нарушены. В любом случае нужны какие-либо инструменты контроля.

Самый очевидный способ контроля – изъятие телефона при проходе сотрудника на работу. Этот способ должен быть тщательно обоснован с правовой точки зрения, вопрос очень неоднозначен юридически. Ещё один способ – анализ изображений с видеокамер. Но обрабатывать видео вручную очень трудозатратно, а использовать современные технологии компьютерного зрения и машинного обучения для решения этой задачи активно пока не начали. Контролировать может также руководитель, но это точно негативно скажется на его непосредственных задачах и рабочем процессе и не эффективно при большом количестве сотрудников в подразделении.

Нашим предложением для снижения рисков фотографирования данных с монитора является нанесение на окна приложений идентификационной информации в виде водяных знаков.

Снижение, при нанесении водяных знаков,  количества утечек через фотографирования экрана обусловлено тем, что сотрудник будет видеть, что ведётся контроль. Понимать, что если он сделает фото, то на нём будет явно видно дату, имя компьютера, имя пользователя и другие атрибуты, которые позволят идентифицировать его как источник утечки. Информация из водяного знака также поможет в расследовании инцидента, если несанкционированно сделанное фото попадёт в службу безопасности.

Решение, применяемое для нанесения водяных знаков поверх окна приложения для эффективности контроля, должно удовлетворять ряду требований. Мы сформировали их по итогам взаимодействия с заказчиками:

  • возможность работы с любым содержимым любого приложения (графическое, консоль, чертёжные инструменты, банковское и специальное ПО);
  • динамическое определение ценной информации или приложений (скрытие на не конфиденциальном содержимом);
  • возможность гибкой настройки отображаемого содержимого водяного знака;
  • лёгкое масштабирование, низкая стоимость администрирования;
  • без больших затрат человеческих ресурсов;
  • низкая нагрузка на рабочую станцию.

Команда Secret Technologies разработала собственный инструмент, удовлетворяющий сформированным требованиям, – решение Screen Guard.

Смотрите также