С каждым годом все большее число утечек приходится на такие каналы, как мессенджеры и сеть. По данным исследований, за первый квартал 2022 года на них пришлось более 74% всех утечек. Зачастую именно в сети и мессенджерах появляются скомпрометированные документы, данные и чувствительная информация. При этом публикуется она там чаще всего в формате фото, сделанного на обычный смартфон.
Подобные противоправные действия, которые влекут за собой утечку конфиденциальной информации, могут быть совершены как намеренно, так и по халатности причастных лиц. В любом случае, последствия, с которыми сталкивается компания после любой утечки, могут быть колоссальными, включая финансовые и репутационные потери.
Для обеспечения должного контроля за конфиденциальной информацией в компании могут быть внедрены различные решения по информационной безопасности. В частности, одним из них может быть защищенное облако для работы с документами. Отвечая на потребность, компания EveryTag готова представить свой новый продукт – облачную версию EveryTag VDR.
Новый формат позволит приобретать решения EveryTag VDR как сервис по модели SaaS (software as a service – модель обслуживания, при которой подписчикам предоставляется готовое прикладное программное обеспечение, полностью обслуживаемое провайдером). Для пользователей будет предлагаться тарифная сетка, предполагающая помесячную или комплексную подписку.
Что из себя будет представлять новый продукт?
EveryTag VDR – это облачная виртуальная комната данных, позволяющая пользователям загружать и хранить свои документы в защищенном пространстве, обмениваться ими, приглашать пользователей для совместной работы над документом с возможностью разграничения доступа. Как дополнительный блок, для ряда форматов будет предусмотрен функционал невидимого маркирования документов для обеспечения возможности обнаружения источника в случае утечки.
Виртуальное пространство решения будет построено на базе Yandex.Cloud и поддерживаться всеми актуальными версиями браузеров: Google Chrome, Mozilla Firefox, Apple Safari, Microsoft EDGE.
Ключевое отличие от других решений, предлагающих облачное пространство для хранения документов – возможность администрирования собственной рабочей области.
Кроме того, в рамках периода использования можно проводить экспертизы по поиску источников утечек по фрагментам маркированных копий документов. После окончания лицензии срок хранения всех документов будет составлять 1 месяц. При необходимости этот срок может быть изменен.
Процесс лицензирования
На текущий момент решение EveryTag VDR может быть приобретено в формате лицензий. Стоимость будет зависеть от двух факторов: числа пользователей и срока использования (минимум месяц).
Также будет существовать возможность расширить внутри периода эксплуатации число пользователей. Например, если компания купит 4 месяца использования и ей потребуется увеличение числа пользователей со 2-го до 3го месяца, то их можно будет докупить (докупка лицензий кратная месяцам), а потом вернуться к исходному числу пользователей по истечении срока действия докупленных лицензий.
В будущем планируется возможность введения подписочной модели.
Функциональные возможности продукта
Продукт EveryTag VDR обладает целым рядом функциональных характеристик, связанных с работой с документами, среди них:
1. Простая загрузка файлов любых форматов в систему;
2. Возможность создания рабочих областей для совместной работы и приглашения в них пользователей;
3. Функционал настройки прав пользователей с помощью ACL-шаблонов;
4. Наличие функционала ограничения ряда действий с документами (запрет на скачивание или печать) для пользователей;
5. Возможность установки правил конфиденциальности для рабочих областей и добавления NDA, которое каждый приглашенный пользователь должен будет принять, перед началом работы в ней;
6. Возможность делиться документами с внешними контрагентами, которые смогут просмотреть документ без регистрации (без необходимости докупки на них лицензии);
7. Возможность предоставления пользователю доступа к документу или папке (по email, создание ссылки общего доступа, скачивание набора копий документа);
8. Возможность кастомизации интерфейса;
9. Полнотекстовый поиск по наименованиям документов и их содержимому;
10. Функционал включения/отключения видимых водяных знаков на документах с возможностью их кастомизации;
11. Возможность совместной работы над документами (будет добавлена в новом релизе).
Кейсы применения
Решения EveryTag VDR может быть использовано в различных бизнес-кейсах, например:
- Как корпоративный файлообменник.
Мы помогаем компаниям организовать удобное корпоративное место для хранения документов, в том числе конфиденциальных. С помощью EveryTag VDR вы можете создать удобную структуру папок, управлять правами доступа пользователей в системе, при необходимости ограничить их действия с файлами и посмотреть журнал активности.
- При сделках по слиянию и поглощению.
Храните все конфиденциальные документы в безопасном месте, где они будут промаркированы для защиты от утечек. Все участники M&A сделок будут иметь установленный вами уровень доступа к файлам в пространстве.
- Для защиты интеллектуальной собственности.
Используйте защищенное пространство от EveryTag, чтобы предотвратить утечку ваших проектов, ноу-хау, патентов, чертежей и любых других конфиденциальных материалов.
- При проведении аудита или тендера.
EveryTag VDR предоставляет удобный формат для безопасного обмена конфиденциальными документами в процессе аудита или тендера. С помощью пространства вы можете контролировать действия с файлами, управлять правами доступа, а также иметь возможность определять источник в случае утечки.
Приведенный список кейсов не является ограничительным, представлены лишь некоторые опции, когда решение EveryTag VDR может быть полезным. В целом, продукт применим при возникновении любой необходимости взаимодействия с документами, обеспечения совместной работы и разграничения прав доступа.
Технические характеристики
EveryTag VDR строится по принципу максимального использования преимуществ централизованной архитектуры, т.е. разумной консолидации основного информационного, программного и технического обеспечения в общем центре обработке данных.
В EveryTag VDR обеспечена горизонтальная и вертикальная масштабируемость ИТ-решения. Под масштабируемостью понимается достаточность вычислительной мощности системы по мере тиражирования ИТ-решения, без изменений в части функций системы, с сохранением производительности по мере увеличения:
- общего и пикового количества пользователей;
- общего объема хранимой информации.
Также в EveryTag VDR предусмотрена возможность обеспечения сохранности данных в следующих ситуациях:
- аварийное отключение питания;
- выход из строя аппаратных компонентов.
Состав и архитектура решения
Архитектурная схема EveryTag VDR включает в себя такие компоненты, как:
- Nginx: используется в качестве http-сервера, приложения балансировки нагрузки, а также как приложение, реализующее статический интерфейс пользователям Системы;
- MongoDB: используется для хранения информации о документах, размещённых в EveryTag VDR, о сгенерированных копиях документа, настройках прав для пользователей, созданных экспертизах и результатах их проведения;
- RabbitMQ: используется для организации и управления очередями сообщений/событий между сервисами системы;
- KeyCloak: используется для аутентификации пользователя в системе с использованием подключенного LDAP-каталога, Google-аккаунта или e-mail, а также обеспечивает интерфейс для администрирования и управления учетными записями пользователей;
- Config Service: относится к инфраструктурным сервисам и обеспечивает компоненты системы конфигурационной информацией;
- Micro.Marking: обеспечивает синхронные вызовы сервисов маркировки различных форматов документов.
Полная архитектурная схема EveryTag VDR приведена на Рисунке 1.
Функционирование EveryTag VDR обеспечивается за счет взаимодействия внешних и внутренних компонентов. Общая схема взаимодействия компонентов EveryTag VDR изображена на Рисунке 2.
Внешними компонентами EveryTag VDR являются:
| Компонент | Версия | Назначение |
| OpenJDK | 11.0.9.1 | Среда и библиотеки для запуска приложений Java |
| Tesseract | 4.1.1 | Свободно-распространяемая библиотека оптического распознавания символов (OCR) |
| RabbitMQ | 3.7.16 | Организация и управление очередями сообщений/событий |
| Opensearch | 1.2.4 | Организация индексирования и поиска текстовой информации |
| MongoDB | 4.0.22 | Нереляционная СУБД |
| Nginx | 1.18.0 | http-сервер, приложение балансировки нагрузки, приложение, реализующее статический интерфейс пользователям EveryTag VDR |
Внутренние компоненты EveryTag VDR:
- Ядро ILD;
- Сервис авторизации и аутентификации.
Ядро ILD представляет из себя набор сервисов, обеспечивающих основную функциональность EveryTag VDR. В состав ядра ILD входят следующие компоненты:
| Наименование сервиса | Назначение |
| ILD ID-Config | Обеспечение компонентов EveryTag VDR конфигурационной информацией |
| ILD ID-Document | Сервис хранения метаданных файлов (ID, класс, ссылка на storage, etc.) |
| ILD ID-Copy | Обеспечение генерации и выдачи уникальных копий документов |
| ILD ID-Analyze | Обеспечение проведения расследования |
| ILD ID-Protect | Обеспечение защиты документа и распознавания |
| ILD ID-Storage | Обеспечение безопасного хранения файлов контента |
| KeyCloak | Обеспечение авторизации пользователя |
| micro.pPDF | Обеспечение синхронной маркировки векторных изображений |
| micro.Notify | Обеспечение работы событийной модели |
| micro.Marking | Обеспечение синхронных вызовов сервисов маркировки |
| micro.Word | Обеспечивает маркировку документов поддерживаемого формата. |
| micro.image | Обеспечивает синхронную маркировку растровых изображений |
| micro.workspace | Обеспечивает категорирование ресурсов (работу с конфиденциальной рабочей областью) |
Системные требования и порядок внедрения
Для работы EveryTag VDR, в случае развертывания решения на одном сервере, необходимо аппаратное и программное обеспечение, соответствующее следующим требованиям:
- Минимальные требования к аппаратному обеспечению:
- CPU core — 6 (Intel Xeon E3-1240 v5);
- RAM — 24 GB;
- HDD — 100 GB.
Указаны требования EveryTag VDR, сконфигурированной для запуска одного экземпляра каждого сервиса ядра и максимальным размером документа – 150 страниц.
Необходимое и достаточное требование к программному обеспечению на серверах:
- Операционная система Ubuntu 20.04 TLS.
Необходимое и достаточное требование к программному обеспечению на рабочих станциях:
- Предварительно на рабочих станциях пользователей должны быть отключены блокировщики контента в браузере (AdBlock, Kaspersky Security, и т.п.) или адрес сервера с EveryTag VDR должен быть добавлен в исключения блокировщика.
Интеграции с другими решениями
В части организации интеграции EveryTag VDR с другими системами возможны следующие опции:
- LDAP-каталогами (например, Microsoft Active Directory) в части обеспечения аутентификации внутрикорпоративных пользователей в EveryTag VDR с учетом разделения их по группам пользователей и ролям;
- Почтовым сервисом (например, Microsoft Exchange) в части направления пользователям приглашений или предоставления ссылок на объекты EveryTag VDR (документы и папки);
- ICAP ресурсом (например DLP) в части передачи данных о загружаемых в EveryTag VDR файлах, с указанием имен файлов, размере, пользователе, осуществляющем загрузку.
Roadmap
Ключевая цель в разработке и доработке продукта EveryTag VDR состоит в том, чтобы сделать его максимально удобным для пользователя и отвечающим всем функциональным необходимостям.
На текущий момент в интерфейсе EveryTag VDR уже реализована возможность добавления конфиденциальных рабочих областей и присвоения конфиденциального статуса ранее созданным рабочим областям. Чтобы получить доступ к конфиденциальной рабочей области, пользователю необходимо будет ознакомиться с соглашением о неразглашении (NDA) и принять условия соглашения, поставив галочку в чекбоксе. Текст NDA является настраиваемым.
К концу 2022 года планируется внедрение функционала, обеспечивающего маркировку конфиденциальных документов путем добавления настраиваемых водяных знаков на уровне настроек рабочей области. Также уже в разработке находится интеграция EveryTag VDR с системой «Р7-Офис» для обеспечения возможности совместной работы с документами внутри интерфейса EveryTag VDR. Уже сейчас EveryTag VDR поддерживает встроенную маркировку ряда редактируемых форматов для безопасной совместной работы с ними вне интерфейса EveryTag VDR.
В планах на 2023 год:
- Реализация и внедрение интеграции EveryTag VDR с системами Bitbucket и Amazon S3;
- Добавление функции управления группами пользователей внутри интерфейса EveryTag VDR без необходимости администрирования Keycloak.
