Comment le système DLP et le module OCR ont empêché les employés de falsifier les numérisations de passeport

Vous vous souvenez de l' histoire de la fuite des données de passeport de 500 millions de clients de la chaîne hôtelière Marriott? Les assaillants auraient pu trouver les données et le groupe hôtelier a même promis de payer le coût du changement de passeport aux clients concernés. Il existe de nombreux cas similaires. La raison est claire: aujourd'hui, plus de 50% des entreprises stockent plus de la moitié de leurs documents sous forme de numérisations, de captures d'écran et de PDF. Il y a trois ans , pas plus d'un tiers de ces documents se trouvaient dans des organisations . Selon une nouvelle enquête de SearchInform , 51% des entreprises déclarent que le nombre de documents au format image a augmenté.

Récemment, le plus souvent, les fuites sous forme d'images sont soumises à des documents juridiquement pertinents, par exemple des contrats. En deuxième place dans le «groupe à risque», on trouve les documents financiers: bilans, comptes de profits et pertes, etc. La perte de ces données menace non seulement les risques de réputation pour l'entreprise, mais peut également entraîner une interruption des transactions. Pour protéger les données importantes des étrangers et des intrus, DLP - des systèmes de prévention des fuites d'informations sont installés dans les systèmes d'information de l'entreprise .

Nous avons déjà parlé sur Habr de la façon dont "SearchInform Information Security Circuit" (CIB) et le module OCR basé sur le produit de technologie ABBYY FineReader Engine. Maintenant, avec les employés du service de mise en œuvre des produits SearchInform, nous avons collecté quatre histoires sur les fuites de différents types de données via des boîtes aux lettres d'entreprise et personnelles. Et nous avons trouvé comment les identifier à l'aide du système DLP avec le module OCR.

Dans une agence de voyages, un employé a envoyé des fichiers sous forme graphique à son courrier personnel. En utilisant les technologies ABBYY, il a été possible d'établir que les pièces jointes étaient des scans de passeports , ce qui constitue une violation flagrante du travail avec les documents d'identité. De plus, il s'agissait d'une violation grave de la politique de sécurité de cette agence de voyages.

Comment s'est-il avéré que les fichiers graphiques étaient des scans de passeports? À l'aide des technologies OCR intégrées, le système DLP a reconnu le texte sur la numérisation, l'a analysé et a déterminé que le document avait un numéro de passeport. Il y a d'autres caractéristiques qui ne sont caractéristiques que des passeports, par exemple la présence de phrases telles que «passeport délivré», «code départemental», etc. Dans le document, le système DLP utilise le classificateur ABBYY pour reconnaître un certain nombre de documents, y compris les passeports. Il affine le travail des technologies OCR, ce qui améliore finalement la précision du résultat.

Des spécialistes du service de l'IB ont commencé à enquêter sur l'incident et ont découvert que des fichiers confidentiels avaient été transférés depuis le compte du concepteur de l'entreprise, depuis son ordinateur. Tous les documents avaient des noms similaires - "Scans", "Scans_new", "Scans_1": L' enregistrement à partir du moniteur du poste de travail du concepteur dans le mode de captures d'écran séparées, que le module MonitorController du système DLP fait, a montré que le concepteur travaillait dans Photoshop avec des scans de passeport. Il en a découpé des photos et en a inséré de nouvelles à la place:

Après avoir analysé toutes les actions du concepteur, le service de sécurité a constaté que l'employé avait falsifié des numérisations de documents. Des contrefaçons de haute qualité pourraient être utilisées pour s'inscrire dans les services Internet lorsqu'un attaquant ne veut pas «faire briller» sa véritable identité. Il serait difficile pour les systèmes de vérification automatique de déterminer l'authenticité des informations contenues dans ces images.

Ainsi, la technologie a aidé à suivre la situation avec des fuites de données et de faux scans de passeport. Grâce à cela, l'entreprise a éliminé le risque de nuire à sa réputation.

La société pétrochimique a tenu des questionnaires remplis à la main avec les données des employés . Le système DLP a enregistré le fait d'envoyer ces questionnaires en dehors de l'organisation: la politique de sécurité pour l'envoi des données personnelles a fonctionné. Le système DLP a donné un signal du fait que le module OCR intégré est capable de travailler avec du texte manuscrit et de le reconnaître avec une précision de plus de 88%. Cela se fait à l'aide d'un classificateur structurel. Plus en détail sur les technologies de reconnaissance intelligente de caractères ABBYY - reconnaissance intelligente de caractères (ICR) - nous l'avons déjà dit sur Habré .





La présence de données personnelles dans les questionnaires est devenue un signal pour vérifier l'incident. Il s'est avéré que les questionnaires contenaient également des téléphones, ainsi que des informations détaillées sur l'état de santé des employés. Si les données fuient, alors quelqu'un en a besoin. Par exemple, ils peuvent intéresser ceux qui annoncent des services médicaux et s'engagent dans l'ingénierie sociale .

La numérisation des profils pourrait facilement être du domaine public, ce qui entraînerait des conséquences irréparables. Les attaquants pourraient extraire ces données et ainsi nuire non seulement aux employés, mais aussi à la réputation de l'ensemble de l'entreprise. Dans ce cas, l'employé dont le questionnaire était entre de mauvaises mains pourrait se plaindre à l'inspection du travail, Roskomnadzor ou raconter l'histoire sur les réseaux sociaux.

La complexité de ce cas est que loin de toutes les technologies peuvent reconnaître le texte manuscrit, mais le module OCR ABBYY peut le faire. Nous donnons un exemple. Voici un questionnaire rempli à la main:

Et le résultat de la reconnaissance d'un tel profil:

Le module de reconnaissance de texte d'ABBYY a permis de découvrir des modèles d'espionnage industriel. L'un des cadres supérieurs embauchés de l'entreprise, qui a déménagé en Russie de l'étranger, a envoyé des fichiers graphiques de son courrier personnel à ses anciens collègues. Le système DLP a découvert ce fait.

Grâce au module OCR, le système DLP a extrait le texte des photos et a découvert que l'employé envoyait des photos de la documentation technique aux développements actuels de l'entreprise. DLP a ensuite analysé les textes en utilisant l'algorithme de «recherche de similaires». Il est capable d'identifier des textes dont le contenu ou le sens sont proches de la norme.

La difficulté était que les documents confidentiels étaient dans la langue de l'un des pays de la CEI. Mais le système DLP et le module OCR peuvent fonctionner avec ce langage. Le module OCR reconnaît les documents en 210 langues (au format texte imprimé) et 126 langues (au format manuscrit) - par exemple, les langues avec des alphabets basés sur les caractères latin, cyrillique, grec et arménien et bien d'autres. Vous pouvez même travailler avec des documents dans des langues mixtes, si, par exemple, des mots dans la langue CIS et des noms en anglais y sont utilisés.

De plus, toute la documentation technique contient de nombreux tableaux, dessins, graphiques et diagrammes. Souvent, vous devez comprendre ce qui y est écrit, car ces informations peuvent jouer un rôle important. Le module OCR reconnaît bien les tableaux et autres structures complexes dans les documents. Grâce à cela, il peut extraire toutes les informations des graphiques, par exemple, pour comprendre si les données sont actuelles ou déjà obsolètes.

Le système DLP a signalé une fuite de documentation technique au personnel de service de l'IB, ils ont analysé l'incident et confirmé que le signal n'était pas faux et que la photo était vraiment tirée de documents confidentiels. En conséquence, la vérification de la correspondance de travail de ce gestionnaire a commencé. Les experts en sécurité de l'information ont découvert qu'il fusionnait ses amis à l'étranger avec des données précieuses que les concurrents d'un autre État pouvaient utiliser (spoiler: et l'utiliser). Par exemple, dans ses lettres, il y a eu une conversation informelle avec des vanteries sur la façon dont «ses amis vont d'abord conquérir le marché et faire le tour de tout le monde», y compris l'entreprise dans laquelle le cadre supérieur travaillait à l'époque.

Mais l'histoire ne s'arrête pas là. Le service de sécurité a continué d'enquêter sur ce cas, en utilisant les capacités du système DLP. Le programme a aidé à trouver de la correspondance avec les clients. Il s'est avéré que le cadre supérieur a ouvert sa propre entité juridique et l'a fait passer pour un centre de service autorisé de la société "native". Il a pris une partie des ordres de réparation de l'employeur, mais en même temps n'a pas utilisé de pièces neuves mais jetées. Cela a entraîné des plaintes des clients au sujet de l'entreprise principale et une perte de réputation. Premièrement, la société a perdu son avantage concurrentiel et, deuxièmement, elle n'a pas réalisé de bénéfices, car les commandes sont parties.

Le chef du département d'ingénierie d'une grande entreprise a délivré un certificat d'arrêt de travail. Ce fait n'aurait pas retenu l'attention si la politique de sécurité qui fixe l'envoi de billets d'avion n'avait pas fonctionné plus tôt dans le système DLP . Le fait est qu'auparavant, une lettre avait été envoyée au courrier de l'employé avec une pièce jointe graphique au format PDF. Grâce au module OCR, le texte du PDF a été reconnu,

et le module analytique de recherche d'expression DLP a spécifié que le fichier joint est un ticket. Cela a été fait en utilisant un ensemble de phrases, ce qui n'est typique que pour les billets électroniques, par exemple, «heure de départ», «code de réservation», «vol», «billet électronique», etc. En conséquence, il s'est avéré que les dates du vol coïncidaient avec le congé de maladie.

Une enquête plus approfondie a montré que le chef du département d'ingénierie se rendait dans une autre ville pour un entretien, ce qui a été confirmé par sa correspondance avec des concurrents des RH, que le service de sécurité a trouvé et analysé. Ainsi, le système DLP a aidé la direction de l'entreprise à placer la situation sous contrôle spécial et à préparer le licenciement de l'employé. Il a été possible d'arrêter la fuite potentielle de données importantes vers les concurrents et de maintenir la continuité du processus de travail dans l'entreprise.

---

Comme vous pouvez le voir, les cas sont différents, mais dans tous les cas, les documents peuvent être reconnus et analysés. Si vous avez des exemples de fuites de documents inhabituelles sous forme d'images ou de photographies, partagez-les dans les commentaires. Nous vous aiderons à régler ces situations.