Современные системы DLP умеют распознавать в потоке передаваемых данных документы, удостоверяющие личность. Причем перехватить попытку передачи такого документа за периметр можно даже в том случае, если речь идет об отправке по электронной почте скан-копии или печати документа на принтере.

Одна из базовых задач для DLP — это обнаружение в потоке передаваемых данных различных государственных документов, удостоверяющих личность (паспорта, свидетельства о рождении, водительские удостоверения и т.п.), и предотвращение их несанкционированного распространения.

Если документы представлены в виде текстовых данных в электронных таблицах, базах данных и т.п., то обычно это не вызывает никаких проблем при условии, что DLP-система поддерживает контентную фильтрацию.

Однако что делать, если речь идет о сканах документов?

Рассмотрим на примере комплекса DeviceLock DLP, как можно создать политику DLP, запрещающую печать на принтерах, отправку по электронной почте (SMTP) и заливку в облачные файловые хранилища сканов паспортов.

Особенность DeviceLock DLP состоит в том, что оптическое распознавание символов (OCR) производится непосредственно на компьютере пользователя резидентным модулем OCR, который входит в состав агента DLP. Встроенный OCR позволяет извлекать текст из графических файлов и затем проверять его правилами, построенными на анализе содержимого передаваемых файлов и данных. Это происходит непосредственно в момент, когда пользователь совершает действия с этими файлами, без их передачи на сторонний сервер для распознавания. Такая архитектура позволяет DeviceLock DLP быстро принимать решение о запрещении или разрешении пользовательской операции.

Отдельно отмечу, что агентская реализация DLP принципиально исключает необходимость передачи пользовательских данных за пределы защищаемого компьютера для любого типа анализа, в том числе OCR, что позволяет успешно эксплуатировать DeviceLock DLP в странах с очень жестким законодательством в сфере охраны прав работников, например, в Германии и Франции.

В качестве тестового образца будем использовать этот скан российского паспорта в формате JPG.

Для начала создадим составное правило контентной фильтрации. «Ловить» сканы паспортов мы будем по характерным для российского паспорта словам из встроенного в DeviceLock DLP словаря и по номерам, причем интерес для нас представляют только графические файлы (всего поддерживается более 30 графических форматов).

Затем применим правило контентной фильтрации к SMTP-протоколу, облачным хранилищам и принтерам. Согласно поставленной выше задаче – выставим запреты на отправку по сети и печать попавших под правило файлов. Дополнительно включим протоколирование действий пользователей, чтобы видеть в логах попытки передачи и печати сканов паспортов.

Теперь попробуем залить скан паспорта на «Яндекс Диск».

При этом в логе аудита создалась запись об этой неудачной попытке.

При попытке распечатать скан паспорта DeviceLock DLP остановит печать в момент отправки задачи на принтер и покажет вот такое сообщение.

Неудача нас постигнет и в момент отправки скана по SMTP.

В логе аудита можно увидеть все следы.

В заключении хочу добавить, что DeviceLock DLP поддерживает оптическое распознавание символов (OCR) для всех основных языков, включая русский, английский, немецкий, китайский, японский и т.д. Текст может извлекаться из отсканированных документов, сфотографированных под углом до 90 градусов к фотографируемой поверхности документов, а также скриншотов документов.

Check Also

Лев Матвеев: «Видим новость про утечку данных по вине хакера, а на самом деле там жирный след инсайдера»

Ранее мы уже беседовали со Львом Матвеевым, председателем совета директоров «СёрчИнформ». …

2 комментария

  1. Аватар

    LightiD

    19.03.2019 at 10:20

    А если юзер архив запароленный будет передавать? Все, система раком встанет? Хотя решение любопытное безусловно

    • Аватар

      Obliterati

      19.03.2019 at 12:04

      Запароленные архивы на контроль встают в первую очередь! Тебе сразу позвонят из ИБ, спросят пароль, что внутри и вообще зачем ты так сделал.

Оставить мнение