Como se proteger contra vazamento de dados?

Não, você não pode. Se eles podem ler os arquivos, eles podem copiá-los.

EDITAR:

Eu estive pensando sobre isso e talvez você possa fazer alguma coisa. Se esses arquivos só puderem ser acessados por alguns programas (Você disse algo sobre arquivos CAD) talvez você possa configurar o proprietário do programa para um novo usuário (digamos CADuser) e alterar as permissões de todos esses arquivos para que somente o CADuser possa ler eles. Definir o bit sticky no programa CAD permitirá que aqueles que executam o programa sejam esse usuário enquanto o programa é executado, podendo assim acessar e trabalhar com os arquivos. Mas se eles pararem de executar o programa, eles não terão acesso a esses arquivos. Eu não testei, mas tenho certeza que se o arquivo for salvo em qualquer outro local, as permissões serão as do usuário do programa, para que não fiquem acessíveis fora do programa, complicando assim o ato de copiá-las para um USB.

É muito difícil e mais uma decisão política do que uma IMO técnica. Há muitas soluções para "coletar dados de um lugar para outro". Você pode proibir a cópia, mas como você evitaria cat $file > /usb/$file ?

Simplesmente não é possível fazer de forma exaustiva.

Sugiro sugerir , portanto, você não permite o acesso à estação de trabalho aos arquivos e exige login remoto em um servidor - para o qual o usuário não tem acesso físico direto e limita o que pode fazer via sudo - por exemplo não sudo su , mas sim um conjunto de comandos que são considerados "seguros o suficiente".

Ou isso e / ou ser mais rigoroso sobre dispositivos de armazenamento removíveis - torne-se uma ofensa disciplinar para trazer um no prédio (que não tenha trilha de auditoria apropriada e verificação de entrada / saída).

Mas em um nível bem fundamental, isso é uma questão de segurança pessoal, não técnica. Um bom ponto de partida são pessoas de saco que você não confia!