Como o sistema DLP e o módulo OCR impediram que os funcionários falsificassem as varreduras de passaporte

Lembra da história do vazamento de dados de passaporte de 500 milhões de clientes da rede de hotéis Marriott? Os atacantes poderiam ter encontrado os dados, e o grupo hoteleiro prometeu pagar o custo da troca de passaporte para os hóspedes afetados. Existem muitos casos semelhantes. Está claro o motivo: hoje, mais de 50% das empresas armazenam mais da metade de seus documentos na forma de digitalizações, capturas de tela e PDF. Três anos atrás , não mais de um terço desses documentos estava em organizações . Segundo uma nova pesquisa da SearchInform , 51% das empresas disseram que o número de documentos em formato de imagem aumentou.

Recentemente, na maioria das vezes, os vazamentos na forma de imagens são submetidos a documentos legalmente relevantes, por exemplo, contratos. Em segundo lugar no "grupo de risco" estão os documentos financeiros: balanços, demonstrações de resultados e assim por diante. A perda desses dados não apenas ameaça os riscos de reputação da empresa, mas também pode levar à interrupção das transações. Para proteger dados importantes de pessoas de fora e intrusos, os sistemas de prevenção de vazamento de informações DLP - são instalados nos sistemas de informação da empresa .

Nós já falou sobre Habr sobre como "Circuito de Segurança da Informação SearchInform" (CIB) eo módulo OCR baseado no ABBYY FineReader Engine produto de tecnologia. Agora, juntamente com os funcionários do departamento de implementação do produto SearchInform, coletamos quatro histórias sobre vazamentos de diferentes tipos de dados através de caixas de correio corporativas e pessoais. E descobrimos como identificá-los usando o sistema DLP com o módulo OCR.

Em uma empresa de viagens, um funcionário enviou arquivos em formato gráfico para correio pessoal. Usando as tecnologias da ABBYY, foi possível estabelecer que os anexos eram varreduras de passaportes , e isso é uma violação grave do trabalho com documentos de identidade. Além disso, isso foi uma violação grave da política de segurança dessa empresa de viagens.

Como exatamente os arquivos gráficos eram varreduras de passaportes? Usando as tecnologias incorporadas de OCR, o sistema DLP reconheceu o texto na digitalização, analisou-o e determinou que o documento tinha um número de passaporte. Existem outras características que são características apenas dos passaportes, por exemplo, a presença de frases como "Passaporte emitido", "Código do departamento" etc. no documento.Além disso, o sistema DLP usa o classificador ABBYY para reconhecer vários documentos, incluindo passaportes. Ele refina o trabalho das tecnologias de OCR, e isso melhora a precisão do resultado.

Os especialistas do serviço IB começaram a investigar o incidente e descobriram que os arquivos confidenciais foram transferidos da conta do designer da empresa, de seu computador. Todos os documentos tinham nomes semelhantes - “Scans”, “Scans_new”, “Scans_1”: a gravação no monitor da estação de trabalho do designer no modo de capturas de tela separadas, que o módulo MonitorController do sistema DLP faz, mostrou que o designer trabalhava no Photoshop com varreduras de passaporte. Ele cortou fotos deles e depois inseriu novas:

Depois de analisar todas as ações do designer, o serviço de segurança constatou que o funcionário falsificou digitalizações de documentos. Falsificações de alta qualidade podem ser usadas para registrar serviços de Internet quando um invasor não deseja "mostrar" sua verdadeira identidade. Seria difícil para os sistemas de verificação automática determinar a autenticidade das informações nessas imagens.

Assim, a tecnologia ajudou a rastrear a situação com vazamento de dados e verificações falsas de passaporte. Graças a isso, a empresa eliminou o risco de prejudicar sua reputação.

A empresa petroquímica manteve questionários preenchidos à mão com dados dos funcionários . O sistema DLP registrou o fato de enviar esses questionários para fora da organização: a política de segurança para o envio de dados pessoais funcionou. O sistema DLP emitiu um sinal devido ao fato de o módulo OCR embutido poder trabalhar com texto manuscrito e reconhecê-lo com uma precisão de mais de 88%. Isso é feito usando um classificador estrutural. Mais detalhadamente sobre as tecnologias de reconhecimento inteligente de caracteres ABBYY - ICR (reconhecimento inteligente de caracteres) - já falamos em Habré .





A presença de dados pessoais nos questionários tornou-se um sinal para verificar o incidente. Verificou-se que os questionários também continham telefones, além de informações detalhadas sobre o estado de saúde dos funcionários. Se os dados estiverem vazando, alguém precisará deles. Por exemplo, eles podem ser de interesse para quem anuncia serviços médicos e se envolve em engenharia social .

Varreduras de perfis podem facilmente ser de domínio público e isso levaria a consequências irreparáveis. Os invasores podem extrair esses dados e, assim, prejudicar não apenas os funcionários, mas também a reputação de toda a empresa. Nesse caso, o funcionário cujo questionário estava em mãos erradas poderia reclamar com a inspeção do trabalho, Roskomnadzor, ou contar sobre a história nas redes sociais.

A complexidade desse caso é que nem todas as tecnologias podem reconhecer texto manuscrito, mas o módulo OCR ABBYY pode fazer isso. Nós damos um exemplo. Abaixo está um questionário preenchido à mão:

E o resultado do reconhecimento de tal perfil:

O módulo de reconhecimento de texto da ABBYY ajudou a descobrir padrões de espionagem industrial. Um dos principais gerentes contratados da empresa, que se mudou para a Rússia do exterior, enviou arquivos gráficos de suas correspondências pessoais para seus ex-colegas. O sistema DLP descobriu esse fato.

Graças ao módulo OCR, o sistema DLP extraiu o texto das fotografias e descobriu que o funcionário estava enviando fotos da documentação técnica para os desenvolvimentos atuais da empresa. Em seguida, o DLP analisou os textos usando o algoritmo "procurar por similar". Ele é capaz de identificar textos com conteúdo próximo ou até com significado para o padrão.

A dificuldade era que os documentos confidenciais estavam no idioma de um dos países da CEI. Mas o sistema DLP e o módulo OCR podem trabalhar com esse idioma. O módulo OCR reconhece documentos em 210 idiomas (em formato de texto impresso) e 126 idiomas (em formato manuscrito) - por exemplo, idiomas com alfabetos baseados em caracteres latinos, cirílicos, gregos e armênios e muitos outros. Você pode até trabalhar com documentos em idiomas diferentes, se, por exemplo, forem usadas palavras no idioma CIS e nomes em inglês.

Além disso, toda a documentação técnica contém muitas tabelas, desenhos, gráficos e diagramas. Muitas vezes, você precisa entender o que está escrito neles, pois essas informações podem desempenhar um papel significativo. O módulo OCR reconhece bem tabelas e outras estruturas complexas nos documentos. Graças a isso, ele pode extrair todas as informações dos gráficos, por exemplo, para entender se os dados estão atuais ou desatualizados.

O sistema DLP sinalizou um vazamento de documentação técnica para os funcionários do serviço IB, eles analisaram o incidente e confirmaram que o sinal não era falso e a foto foi realmente tirada de documentos confidenciais. Como resultado, começou a verificação da correspondência de trabalho desse gerente. Especialistas em segurança da informação descobriram que ele estava fundindo seus amigos no exterior com dados valiosos que concorrentes de outro estado poderiam usar (spoiler: e usá-lo). Por exemplo, em suas cartas houve uma conversa informal com ostentando como "seus amigos conquistarão o mercado primeiro e circularão por todos", incluindo a empresa na qual o gerente de topo trabalhava na época.

Mas a história não termina aí. O serviço de segurança continuou investigando esse caso, usando os recursos do sistema DLP. O programa ajudou a encontrar correspondência com os clientes. Verificou-se que o gerente de topo abriu sua própria entidade legal e a passou como um centro de serviço autorizado da empresa "nativa". Ele tomou parte das ordens de reparo do empregador, mas ao mesmo tempo usou peças não novas, mas descartadas. Isso levou a reclamações dos clientes sobre a empresa principal e a uma perda de reputação. Em primeiro lugar, a empresa perdeu sua vantagem competitiva e, em segundo lugar, não obteve lucro, à medida que os pedidos saíam.

O chefe do departamento de engenharia de uma grande empresa emitiu um certificado de licença médica. Esse fato não teria atraído atenção se a política de segurança que fixa o encaminhamento de passagens aéreas não tivesse funcionado anteriormente no sistema DLP . O fato é que anteriormente uma carta foi enviada para a correspondência do funcionário com um anexo gráfico em formato PDF. Graças ao módulo OCR, o texto no PDF foi reconhecido,

e o módulo analítico de pesquisa de frase DLP especificou que o arquivo anexado é um ticket. Isso foi feito usando um conjunto de frases, típico apenas de passagens eletrônicas, por exemplo, “horário de partida”, “código de reserva”, “voo”, “passagem eletrônica” etc. Como resultado, as datas do voo coincidiram com a licença médica.

Uma investigação adicional mostrou que o chefe do departamento de engenharia estava indo para outra cidade para uma entrevista, o que foi confirmado por sua correspondência adicional com os concorrentes de RH, que o serviço de segurança encontrou e analisou. Assim, o sistema DLP ajudou a gerência da empresa a colocar a situação sob controle especial e a se preparar para a demissão do empregado. Foi possível interromper o possível vazamento de dados importantes para os concorrentes e manter a continuidade do processo de trabalho na empresa.

---

Como você pode ver, os casos são diferentes, mas em todos os casos, os documentos podem ser reconhecidos e analisados. Se você tiver exemplos de vazamentos incomuns de documentos na forma de imagens ou fotografias, compartilhe-os nos comentários. Ajudaremos a resolver essas situações.