Защищённое хранилище: зачем мы научили корпоративный браузер шифровать файлы

Рассказываем, как работает нетипичная для браузеров функция, и как она, вместе с другими защитными технологиями, помогает предотвращать утечки конфиденциальных данных.

Дмитрий Мажарцев, Директор по информационной безопасности Яндекс Браузера для организаций

О браузерах обычно думают, что это программа для просмотра веб-страниц, сериалов и, может быть, для работы с облачными документами. Однако в корпоративной среде это уже давно один из ключевых рабочих инструментов: по разным оценкам, от 50 до 70% рабочего времени современные офисные сотрудники проводят в браузере.

Много корпоративной информации, в том числе конфиденциальной, сегодня обрабатывается в браузере, а он обычно является «слепым пятном» для корпоративных ИБ-служб. Это означает, что они далеко не всегда могут убедиться, что конфиденциальная информация в браузере обрабатывается безопасно и не «утекает» за пределы периметра организации.

Обеспечить такой контроль можно. Обычно — с помощью решений для защиты от утечки данных (DLP), работающих в комбинации с корпоративными системами управления мобильными устройствами (Mobile Device Management) и решениями для обмена зашифрованными файлами.

Установить, настроить и «подружить» друг с другом такие продукты непросто, что делает их доступными только для крупных организаций. Но даже наличие систем такого рода не всегда решает проблему – эффективно предотвращать утечки становится труднее, когда в «уравнении» появляются сотрудники и подрядчики, которые работают удалённо или с личных, а не с корпоративных устройств.

Устройства каждого такого пользователя (если с этих девайсов есть доступ к конфиденциальной информации) нужно обеспечивать защитой, например, устанавливать MDM-профиль, настраивать зашифрованную почту.

Соблюдаются ли эти регламенты? Едва ли. Новости об утечках данных по вине подрядчиков появляются регулярно, да и ситуацию, когда бывший сотрудник или контрагент, с которыми не получилось расстаться мирно, ушёл, прихватив с собой базы клиентов, нельзя исключить. Или можно?

Подумав о том, как нам надёжно защитить данные, но не создать трудностей в работе с ними, мы придумали Защищённое хранилище. Эта функция Браузера для организаций, с одной стороны, защищает от утечек, а с другой — сохраняет возможность работать с данными, если браузер поддерживает нужный формат файла.

Мы старались максимально упростить техническую часть. В «уравнении» есть всего две основные сущности: защищаемые веб-ресурсы, на которых информация хранится в открытом виде (например, корпоративное облако), и пользовательское устройство, на котором установлена расширенная версия Яндекс Браузера для организаций.

Если пользователь скачает файлы с таких ресурсов в память смартфона или ноутбука, Браузер зашифрует файлы с помощью ключа, который привязан к одному единственному устройству — тому, на котором Браузер установлен.

С этого момента файлы можно открыть в читаемом виде только в Браузере и только на том устройстве, на которое их скачали. При попытке открыть файл любым другим ПО, скопировать его или переслать, информация останется в зашифрованном виде. Если сотруднику необходимо поделиться информацией, то файл достаточно загрузить на один из защищаемых веб-ресурсов — Браузер расшифрует в процессе его загрузки на сервер.

Конечно, мы не изобрели обмен зашифрованными файлами. Функциональность Защищённого хранилища можно реализовать и более привычными средствами: например, с помощью отдельного ПО для шифрования информации, такого как GPG, Veracrypt, BitLocker и других. В этом случае не так важно, каким браузером пользуются в организации, однако с классическими решениями есть несколько проблем:

Это непросто реализовать, когда много удалённых сотрудников и сотрудников, работающих с личных девайсов. Чем больше устройств — тем больше головной боли у IT-администраторов.

Вы должны помнить пароль от своего сертификата, следить за его сроком действия, иметь доступ к публичным ключам тех, с кем планируете обмениваться зашифрованными данными, и убедиться, что у получателей ваших сообщений имелся тот же набор данных, навыков и инструментов, а также ваш публичный ключ.

Поскольку в расшифрованном виде файл доступен для копирования, вместе с решениями для шифрования в организации должны работать отдельные DLP-решения. Они должны быть доступны на всех платформах, используемых сотрудниками, включая мобильные.

Другими словами, чтобы максимально надёжно защитить конфиденциальные сведения, компаниям нужно проделать немало работы и инвестировать большие деньги.

Однако если вспомнить, что большинство офисной работы сегодня можно делать с помощью всего лишь одной программы (браузера), то задача сразу упрощается, ведь вместо множества каналов, через которые секретная информация может утечь (неконтролируемые браузеры, почта, мессенджеры), надо защищать один.

Сразу отмечу, что в отрыве от других функций Браузера Защищённое хранилище не лишено некоторых перечисленных выше недостатков обычных решений. Как и в случае с обычными решениями, после расшифровки из Защищённого хранилища содержимое файла можно скопировать в буфер обмена и вставить в другой файл; можно сделать скриншот или запись экрана или даже скопировать контент с экрана с помощью сторонней камеры. Однако в Яндекс Браузере для организаций функция работает совместно с другими защитными технологиями, создавая надёжную защиту.

Во-первых, функция защиты от обхода контура безопасности позволяет настроить Браузер и IT-инфраструктуру организации так, чтобы доступ ко всем или только к особо важным внутренним ресурсам был возможен только из Яндекс Браузера для организаций: если пользователь попробует зайти на внутренний ресурс через другой браузер, запрашиваемая страница не откроется.

Во-вторых, в Браузер интегрировано множество функций защиты от утечки данных. Например, можно ограничить копирование информации в буфер обмена, запретить делать запись экрана и скриншоты, а также печать, сохранение контента в альтернативных форматах (например, html).

Отдельная функция «Цифровые водяные знаки» затрудняет копирование информации через съемку экрана с внешней камеры: поверх контента открытой в Браузере страницы размещаются повторяющиеся QR-коды, в которых зашифрованы сведения о том, когда и с какого устройства была открыта страница. А для защиты от физического доступа к Браузеру и информации в нём предусмотрен пин-код.

Сейчас Защищённое хранилище доступно в свежих версиях Браузера для всех популярных настольных платформ, включая российские ОС на базе Linux, а также в версии для Android и iOS.

Кроме того, технология в текущей реализации поддерживает только одно устройство, на котором файл может быть расшифрован — именно к этому устройству привязан ключ шифрования. Мы понимаем, что сотрудники современных организаций почти всегда используют несколько устройств для работы (например, смартфон и ноутбук), и поэтому на следующем этапе внедрим возможность перемещать файлы с устройства, на котором они были зашифрованы, на другие девайсы сотрудника.