Причины:
- Передача через незашифрованные каналы (HTTP, FTP, SMB без шифрования).
- Отсутствие контроля доступа и аудита операций.
- Использование сторонних облачных сервисов без согласования и DLP.
- Отсутствие E2EE (End-to-End Encryption) для криминально важных документов.
Решение (только легальные методы, РФ):
1. Развернуть корпоративный файлообменник с E2EE (Nextcloud с установленным приложением End-to-End Encryption, ownCloud с шифрованием на клиенте).
2. Настроить протоколы передачи:
- Для внутреннего SMB — шифрование через SMB3 (AES-128/256) + VPN (WireGuard/OpenVPN).
- Для внешнего доступа — SFTP (SSH-ключи, запретить пароли) или WebDAV over HTTPS (TLS 1.3).
3. Контроль доступа:
- МФА (TOTP или аппаратный токен).
- RBAC: группы «Только чтение», «Чтение+запись», «Администратор».
- Принудительная привязка к корпоративному AD/LDAP.
4. Аудит и DLP:
- Включить логирование всех действий (загрузка, скачивание, удаление).
- Установить DLP-агент (например, Solar Dozor) для блокировки отправки файлов с метками «ДСП» или «КТ» на внешние ресурсы.
5. Ограничение сторонних сервисов:
- Через групповые политики (GPO) заблокировать домены Google Drive, Dropbox, Яндекс.Диск.
- Использовать прокси-фильтрацию с whitelist только корпоративных доменов.
6. Пример конфигурации SFTP-сервера на Linux (для закрытого контура):
bash
<h2 id="ustanovka">Установка</h2>
sudo apt install openssh-server
<h2 id="etc-ssh-sshd-config">/etc/ssh/sshd_config:</h2>
Subsystem sftp internal-sftp
Match Group sftpusers
ChrootDirectory /sftp/%u
ForceCommand internal-sftp
X11Forwarding no
AllowTcpForwarding no
PermitTTY no
<h2 id="zatem-sozdat-polzovateley-ustanovit-prava-755-na-koren-chroot-i-700-na-papku-polzovatelya">Затем создать пользователей, установить права 755 на корень chroot и 700 на папку пользователя.</h2>