Контейнеризация файлов: как сохранить контроль над документами даже на устройствах партнеров

Сегодня обмен данными — основа любого бизнеса. Ежедневно компании работают с десятками файлов: редактируют их, скачивают, пересылают партнерам или клиентам. Чем больше документов попадает за периметр организации, тем выше риск утечек конфиденциальных данных.

Как обеспечить защиту файла, если его уже скачали и открыли на незащищенном устройстве? Вместе с Secret Technologies разбираемся, как контейнеризация помогает решить эту задачу.

Что такое контейнеризация

Допустим, проектировщик отправляет подрядчику файл для согласования. Получив документ, подрядчик может скопировать его, распечатать, переслать третьим лицам, включая конкурентов.

Проектная фирма потеряла контроль над файлом. Это может обернуться утечкой конфиденциальной информации или персональных данных. Последствия серьезные: штрафы, издержки на расследование инцидента, потеря репутации.

Выход из ситуации — контейнеризация. Это технология, при которой файл помещается в цифровой контейнер со специальными правилами безопасности. Они действуют везде — даже если файл покинул защищенное корпоративное хранилище и его открыли на другом устройстве.

Контейнер позволяет гибко настраивать доступ и определять, кто может открыть документ и что может с ним делать: копировать, редактировать, печатать. При этом все действия логируются, а попытки несанкционированного доступа блокируются автоматически.

Какие есть варианты контейнеризации

Защита файлов с помощью контейнеризации может строиться по-разному: от паролей на PDF до полноценного контроля действий пользователя. Разберем три ключевых подхода.

Защищенные PDF-файлы

Это знакомый многим способ защиты, но его сложно назвать полноценной контейнеризацией — скорее, ее упрощенная версия. Здесь используются базовые механизмы безопасности: пароль на открытие, запрет на печать или копирование текста.

Преимущества

• Не требует установки дополнительного ПО, так как достаточно стандартных программ для просмотра PDF.
• Быстрое развертывание без технической подготовки.

Недостатки

• Низкая надежность, так как защиту легко обойти — существуют инструменты для снятия паролей.
• Работает только с PDF. Если документ требует правок, например, проектная документация или чертежи, то такой подход полностью блокирует работу.

Контейнеры со встроенным редактором

Этот метод обеспечивает более высокий уровень безопасности по сравнению с защищенными PDF и поддерживает работу с разными форматами. Файл помещается в контейнер, который можно открыть только через специальное приложение — встроенный редактор. Оно контролирует все действия пользователя и не допускает несанкционированное копирование информации и извлечение данных.

Преимущества

• Работа с разными форматами, а не только PDF.
• Более надежная защита по сравнению с паролями на PDF.

Ограничения

• Сложная реализация, так как для каждого формата требуется разрабатывать отдельный редактор, что увеличивает затраты и время внедрения.
• Ограниченный функционал, ведь встроенные редакторы уступают привычным программам вроде Microsoft Word и AutoCAD по функционалу и удобству.
• Для работы с контейнером нужно специальное ПО на компьютере пользователя. Корпоративные политики безопасности зачастую ограничивают установку сторонних программ.

Контроль над системой

В этом варианте файл в контейнере открывается не в специальном редакторе, а в привычной для пользователя программе. Специальное приложение предоставляет стороннему ПО контролируемый доступ к файлу и непрерывно отслеживает все действия с документом.

Преимущества

• Полный контроль над действиями пользователя с файлом.
• Поддерживаются все форматы — от офисных документов до проприетарных CAD-форматов.
• Пользователям не нужно осваивать новые редакторы.
• Для обхода защиты нужны специализированные инструменты, недоступные большинству пользователей.

Недостатки

• Необходимо учитывать все возможные способы доступа к файлу и блокировать недопустимые действия. Это требует глубокой проработки механизмов защиты.
• На компьютер пользователя нужно установить специальное приложение для работы с контейнером. Как мы подчеркивали выше, не во всех компаниях это разрешено.
• Постоянный мониторинг и анализ действий пользователя создают дополнительную нагрузку на компьютер.

Реализация контейнеризации в Secret Cloud DRM

Secret Cloud DRM — это комплексное решение для безопасного хранения файлов и совместной работы над документами, которое защищает данные на всех этапах. Для контроля доступа и действий с файлами даже после их передачи внешним пользователям используется подход «контроль над системой».

Как это работает?

При открытии контейнера на рабочей станции автоматически создается виртуальный жесткий диск. Защищенный файл размещается именно на этом диске и никогда не попадает на физические диски пользователя в незашифрованном виде. Такой зашифрованный файл доступен для предпросмотра и редактирования, включая возможность совместной работы, что обеспечивает удобство использования без ущерба для безопасности данных.

Механизмы контроля

Система постоянно мониторит и контролирует все действия, которые совершаются с файлом внутри виртуальной среды.

• Контентный анализ и политики безопасности

Пока контейнер открыт, система в реальном времени анализирует действия пользователя и блокирует попытки несанкционированного доступа будь то копирование данных, пересылка документа или создание скриншотов.

• Автоматическое завершение работы

При закрытии контейнера виртуальный диск автоматически отключается, а все приложения, в которых редактировался файл, принудительно завершают работу. Это гарантирует, что после окончания работы над документом не остается никаких следов на компьютере пользователя.

• Контроль используемого ПО

Администратор системы может гибко настраивать список разрешенных программ для работы с файлами, поэтому документы будут открываться только в доверенных приложениях.

Оптимизированная производительность

Сотрудники часто работают одновременно с несколькими приложениями, которые сильно нагружают рабочие станции. Поэтому разработчики Secret Cloud DRM спроектировали приложение так, чтобы оно потребляло минимально возможное количество ресурсов. Использование программы практически незаметно для пользователя даже на стандартных рабочих станциях.

Работа с контрагентами

Для работы с внешними пользователями есть специальная lite-версия контейнера. Она открывается с помощью приложения, которое не нужно устанавливать на компьютер контрагента. В этой версии передается нередактируемая копия файла, предназначенная только для предпросмотра.

Расследование и предотвращение утечек

Современные технологии защиты данных эффективно блокируют копирование, пересылку и сохранение файлов. Однако всегда есть риск, что злоумышленник воспользуется «непрограммными» методами, например сфотографирует экран на смартфон. Для таких случаев в Secret Cloud DRM предусмотрены дополнительные механизмы расследования инцидентов.

TraceDoc — технология, которая создает отдельные копии документов для каждого пользователя, открывающего файл. Система маркирует файлы уникальными метками, которые незаметны при работе с документом. Если произойдет утечка, то с их помощью можно будет установить источник, если пользователь сделал фотографию или скриншот.

Screen Guard — механизм, который защищает файлы от несанкционированных действий на рабочих станциях сотрудников. Он накладывает на экран устройства малозаметную маску, которая не мешает работе, но позволяет установить владельца устройства по любому скриншоту или фотографии.

Интеграция этих решений с основными механизмами защиты создает многоуровневую систему безопасности, где каждый элемент усиливает общую защиту данных на всех этапах работы. TraceDoc и Screen Guard помогают расследовать инциденты. Но еще они предотвращают негативные события. Если пользователи знают, что любую попытку несанкционированного копирования можно отследить, то количество таких попыток сокращается.

Потеря контроля над документами иногда обходится бизнесу слишком дорого, ведь средний ущерб от утечки информации достигает 11,5 млн руб., а расследование таких инцидентов требует до 100 млн руб. Контейнеризация файлов сокращает риски утечек с минимальными изменениями в рабочих процессах.