Системы корпоративного поиска: угрозы информационной безопасности преувеличены

Антон Салов,
Google Enterprise Professional, руководитель отдела корпоративных Интернет-решений компании Softline

С каждым годом растут объемы информации внутри компании. Значительную часть корпоративных документов составляют текстовые документы, Web-страницы, электронные письма и архивы различных Интернет-мессенджеров. Данные хранятся на разных серверах с различными файловыми системами, рабочих станциях, ноутбуках, сайтах и т.п. На первый план выходит задача обеспечения быстрого и эффективного поиска по всем документам, которую решает система корпоративного поиска.

Система корпоративного поиска и угрозы ИБ компании

В некоторых статьях появляются сообщения о небезопасности использования системы корпоративного поиска. По мнению авторов таких статей, препятствием на пути внедрения системы корпоративного поиска являются повышенные риски информационной безопасности. В этих источниках приводятся результаты исследований, в которых указываются угрозы, возникающие при использовании корпоративных поисковых систем: утечка конфиденциальной информации, несанкционированный доступ, потери данных.

Насколько такие опасения обоснованны? Некоторые отечественные специалисты считают, что если обеспечить сотрудников компании мощными средствами поиска, то для злоумышленников упростится процесс поиска всей конфиденциальной информации, и не нужно будет выведывать, где она хранится. Также называется еще одна причина утечки - непреднамеренная ошибка служащего, заключающаяся в том, что он может перепутать конфиденциальный и публичный файлы и найти по ключевому слову документ, находящийся в закрытом доступе. Или допустит утечку информации из-за того, что не будет знать о конфиденциальном характере документа.

Если компания не контролирует все коммуникационные каналы (почту, Интернет, IM и др.), то утечка произойдет вне зависимости, существует или нет в компании система поиска. Сотрудник, задумавший "слить" корпоративную информацию, и без нее справится с поиском конфиденциальной информации. Для защиты от этой угрозы в компании нужно внедрять комплексную систему защиты от утечек информации. Возникают вопросы: как в общем доступе оказался конфиденциальный инструмент? почему сотрудник просматривает документы, к которым у него нет доступа? какие возможности существуют в поисковых системах для обеспечения безопасности документов?

Возможности систем корпоративного поиска по обеспечению ИБ

Большинство систем корпоративного поиска могут интегрироваться с системами безопасности компании. Тогда правила безопасности, определенные внутри системы корпоративной сети, будут действовать и для системы корпоративного поиска.

В самой системе корпоративного поиска можно управлять доступом в двух плоскостях - на уровне документов и уровне ролей пользователей.

Компании должны иметь четкое представление о том, какие документы могут быть доступны каждому сотруднику. Существует несколько вариантов определения доступа к документам:

1. Все или ничего. Если пользователь вошел в систему поиска, то он может искать информацию, если нет, - то не может.
2. По коллекции. Здесь все данные делятся и группируются по категориям,  например: "общий доступ", "ограниченный доступ", "конфиденциальный" и т.д. И для пользователей, и для документов определяются соответствующие сочетания. При входе в систему корпоративного поиска для каждого пользователя определяются его полномочия и уровень доступа к соответствующим коллекциям, в которых он может производить поиск.
3. По документам/записям. Определяются группы пользователей или пользователи, которые могут смотреть определенные документы, записи в БД, Web-страницы. Причем в зависимости от возможностей самой системы корпоративного поиска можно настроить ее так, чтобы пользователь в результатах выдачи название и описание документа не увидел бы.

В системах корпоративного разграничения доступа существует несколько основных групп пользовательских прав, которые с успехом могут быть применены и к универсальным системам корпоративного поиска:

1. Глобальный статус. Другими словами - все для всех. Имеет смысл только в компаниях, в которых не хранятся свои внутренние документы.
2. Общий статус. Пользователям присваивается определенное звание. Уровни доступа - партнер, менеджмент, работники, клиенты и т.п.
3. Группа/роль. Могут быть определены произвольные группы пользователей. Некоторые группы могут быть основаны на уровне менеджмента или ранга. Также могут быть определены такие группы, как "Управление персоналом", "Финансы", члены которых могут получить дополнительный доступ к соответствующей информации.
4. Конкретный пользователь. Со стороны некоторых систем корпоративного поиска эта модель трудноосуществима.